• IT-Karriere:
  • Services:

Security: Sicherheitslücke bei 1und1, Web.de und GMX

Eine Sicherheitslücke bei den E-Mail-Anbietern von United Internet, darunter Web.de, GMX und 1und1 hätten Angreifer ausnutzen können, um sich Zugriff auf Kundenkonten zu verschaffen. Die Lücke ist inzwischen geschlossen.

Artikel veröffentlicht am ,
Wegen einer Sicherheitslücke müssen beim Zugriff über den Webmailer bei GMX, Web.de und 1und1 künftig Cookies gesetzt werden.
Wegen einer Sicherheitslücke müssen beim Zugriff über den Webmailer bei GMX, Web.de und 1und1 künftig Cookies gesetzt werden. (Bild: Screenshot: Golem.de)

Mehrere E-Mail-Konten bei Web.de, GMX und 1und1 waren potenziell von einer Sicherheitslücke betroffen, über die sich Angreifer Zugriff auf die Konten und E-Mails Betroffener hätten verschaffen können. Entdeckt hatten die Lücke Redakteure bei Wired Deutschland. Sie informierten das Unternehmen United Internet, dem die drei Anbieter angehören. Die Lücke wurde inzwischen geschlossen. Wie viele Kunden tatsächlich betroffen waren, und ob die Lücke aktiv ausgenutzt wurde, ist aber nicht bekannt.

Stellenmarkt
  1. Interhyp Gruppe, Berlin, München
  2. finanzen.de, Berlin

Angreifbar seien alle Kunden gewesen, die das Setzen von Cookies bei Web.de, GMX oder 1und1 im Webmailer blockierten. Ein Angreifer hätte dem Opfer lediglich einen Link zu einem Server unter seiner Kontrolle per E-Mail schicken brauchen. Hätte das Opfer auf den Link geklickt, wäre auch die aktuelle Session-ID an den Angreifer übermittelt worden, der so Zugriff auf das Konto erhalten hätte. Die E-Mail-Provider hätten versäumt, einen sogenannten Dereferer dazwischenzuschalten, also eine HTML-Seite des Providers, die die Session-ID herausfiltert. Stattdessen wurde dort ein 302-Redirect verwendet, der eben jene Session-ID enthielt. Wäre ein Cookie gesetzt worden, wäre dort die Session-ID gespeichert und nicht mehr übertragen worden.

United Internet reagierte, indem es seit dem 14. August den Zugang zum Webmailer verweigert, wenn das Setzen von Cookies im Browser gesperrt ist. Wie lange die Lücke bestand, ist nicht bekannt. Wer auf sein Konto bei den entsprechenden Anbietern über die Webmail-Benutzeroberfläche ohne Cookie zugegriffen hat, sollte vorsichtshalber sein Passwort neu setzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-30%) 41,99€
  2. (-20%) 47,99€
  3. 24,00€
  4. 14,99€

albob81 19. Aug 2015

In solchen Fällen müssen halt die entsprechenden Stellen das Zertifikat für ungültig...

Brotbüchse aus... 19. Aug 2015

Wenn ich die bestehende Session abmelde und mich neu anmelde, ist die alte Session doch...

Crono 19. Aug 2015

Wer immer noch nicht weiß wann man welche links anklicken darf, der sollte die Finger vom...

Dingens 19. Aug 2015

ui, deja vu. wollte vor ein paar tagen auch in meinen alten account, ging nicht...


Folgen Sie uns
       


Microsoft Surface Laptop 3 (15 Zoll) - Hands on

Der Surface Laptop 3 ist eine kleine, aber feine Verbesserung zum Vorgänger. Er bekommt ein größeres Trackpad, eine bessere Tastatur und ein größeres 15-Zoll-Display. Es bleiben die wenigen Anschlüsse.

Microsoft Surface Laptop 3 (15 Zoll) - Hands on Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

    •  /