Google bestreitet Sicherheitsloch in Google Mail

Der Chefredakteur von MakeUseOf.com, Aibek Esengulov, berichtet davon, wie ihm die eigene Domain Anfang November 2008 geklaut wurde. Esengulov vermutet, dass eine Sicherheitslücke in Google Mail den Diebstahl ermöglicht hat. Er fand in seinem Google-Mail-Konto Filtereinstellungen, die an ihn adressierte E-Mails automatisch an eine andere Adresse leiteten. Konkrete Hinweise auf eine Sicherheitslücke in Google Mail bleibt er allerdings schuldig.

Google hat auf die Vorwürfe reagiert und versichert, dass keine Sicherheitslücke in Google Mail vorhanden sei, die einen Zugriff auf die Filtereinstellungen erlaube. Daher geht Google davon aus, dass der Chefredakteur von MakeUseOf.com Opfer einer Phishing-Attacke geworden ist. Auch anderen Domainbesitzern ist in der Vergangenheit vergleichbares widerfahren, berichtet ReadWriteWeb.com.

Nach Recherchen von Google haben Angreifer manipulierte E-Mails versendet, indem die Empfänger zum Aufruf der Phishing-Webseite google-hosts.com aufgefordert wurden. Wer Benutzername und Kennwort des eigenen Google-Kontos dort eingegeben hatte, leitete die vertraulichen Daten direkt an unbefugte Dritte weiter, die dann unbeschränkten Zugriff auf das Goole-Mail-Konto erhielten, um etwa passende Filter einzurichten.

Im September 2007 wurde ein Sicherheitsloch in Google Mail bekannt, das kurz darauf von Google beseitigt wurde. Der Fehler machte sich als sogenanntes Cross-Site-Request-Forgery-Leck (CSRF) bemerkbar. Ein Angreifer musste ein Opfer dazu bringen, bei Google Mail angemeldet zu sein und parallel dazu in einem anderen Browsertab eine manipulierte Webseite zu öffnen.