Abo
  • IT-Karriere:

E-Mail-Zugang bei GMX nach dem Login unverschlüsselt

Umfangreiche persönliche Daten gehen ohne SSL an den Adserver

Wer ein kostenloses E-Mail-Postfach bei GMX nutzt, ist nach dem Login ungeschützt. Nach der Anmeldung wird die Session gegenwärtig nicht weiter mit SSL verschlüsselt, sagte ein Unternehmenssprecher Golem.de. Möglicherweise umfangreiche persönliche Daten gehen so auch unverschlüsselt an den Adserver von GMX.

Artikel veröffentlicht am ,
E-Mail-Zugang bei GMX nach dem Login unverschlüsselt

GMX, der Webmailservice von United Internet, steht wegen Sicherheitslücken in der Kritik. Das Blog Facebug berichtet, dass nach dem Login eines Nutzers mit Benutzername und Passwort die Session zu dem E-Mail-Postfach nicht weiter mit SSL (Secure Sockets Layer) verschlüsselt wird. Die gesamte E-Mail-Kommunikation nach dem Anmeldevorgang erfolgt damit ungeschützt.

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. BSH Hausgeräte GmbH, Giengen

Über eine Javascript-Funktion werden zudem umfassende persönliche Daten an den Adserver von United Internet übermittelt, fand Facebug heraus. Das Brisante dabei: Auch hier erfolgt die Kommunikation zwischen Client und GMX-Server unverschlüsselt ohne SSL. Dabei werden die Angaben übertragen, die der Nutzer zu Vorname, Name, Geschlecht, Geburtsdatum, Postleitzahl, Ort, Straße, Telefon, E-Mail und Kundennummer bei GMX gemacht hat.

Ein GMX-Sprecher bestätigte die Angaben gegenüber Golem.de. "Grundsätzlich stimmen die Dinge zum Teil", sagte er. "Derzeit haben wir keinen verschlüsselten Webdienst bei GMX im Freemailbereich." Einen früher bereits vorhandenen, verschlüsselten Webmaildienst habe GMX wieder abschalten müssen, "weil es vermehrt Beschwerden gab, dass dies auf die Performance schlägt". Die Planung sehe aber vor, dass GMX im Verlauf des Monats März 2010 wieder einen hohen durchgängigen Sicherheitsstandard anbietet. Bei kostenpflichtigen GMX-Mail-Zugängen gebe es die Performanceprobleme jedoch nicht, so der Sprecher.

Auch die unverschlüsselte Übermittlung der persönlichen Daten an den GMX-Adserver bestätigte der Sprecher. Diese Daten würden aber nicht an Werbetreibende herausgegeben, versicherte er. "Es sind bisher keine Fälle von Datendiebstahl aufgetreten", sagte er. GMX hat nach eigenen Angaben 14 Millionen aktive Postfächer. Als aktiv bezeichnet das Unternehmen E-Mail-Konten, die in den letzten 30 Tagen genutzt wurden.



Anzeige
Top-Angebote
  1. (u. a. Corsair K70 RGB MK.2 Tastatur für 119,99€, Elgato Stream Deck mini für 74,99€, Corsair...
  2. 199,90€
  3. (u. a. PS4 Slim 500 GB inkl. 2 Controller & Fortnite Neo Versa Bundle für 249,99€, PS4 500 GB...
  4. 89,99€ (Release 24. September)

SebastianMöckli... 19. Feb 2013

Ich bin auch einer der Benutzer, der GMX noch in dem schlichten Design mit Login-Fenster...

Frage 09. Apr 2010

Ich bekam grad einen potentiellen clickjacking angriff von gmxattachments.net - was ist...

knalli 17. Feb 2010

Das liegt daran, dass der Login eben doch mit SSL gesichert ist. Nur weil die Seite, wo...

Stebs 13. Feb 2010

Ja! Nein! Beim alten Thunderbird bedeutet TLS eben nicht das normale TLS, sondern...

WurstSchimmel 11. Feb 2010

Du bist auch so einer, der nicht die AGB liest, aber hinterher rumheult oder? Herrlich...


Folgen Sie uns
       


Ancestors - Fazit

Mehre Millionen Jahre in einem Spiel: Dieses mutige Ziel hat sich das Indiegame Ancestors - The Humankind Odyssee gesetzt.

Ancestors - Fazit Video aufrufen
Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. 16-Kern-CPU Ryzen 9 3950X erscheint mit Threadripper v3 im November
  2. Epyc 7H12 & Ryzen 5 3500X AMD bringt 280-Watt-CPU und plant günstigen Sechskerner
  3. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher

    •  /