Abo
  • Services:

Security: Sicherheitslücke bei 1und1, Web.de und GMX

Eine Sicherheitslücke bei den E-Mail-Anbietern von United Internet, darunter Web.de, GMX und 1und1 hätten Angreifer ausnutzen können, um sich Zugriff auf Kundenkonten zu verschaffen. Die Lücke ist inzwischen geschlossen.

Artikel veröffentlicht am ,
Wegen einer Sicherheitslücke müssen beim Zugriff über den Webmailer bei GMX, Web.de und 1und1 künftig Cookies gesetzt werden.
Wegen einer Sicherheitslücke müssen beim Zugriff über den Webmailer bei GMX, Web.de und 1und1 künftig Cookies gesetzt werden. (Bild: Screenshot: Golem.de)

Mehrere E-Mail-Konten bei Web.de, GMX und 1und1 waren potenziell von einer Sicherheitslücke betroffen, über die sich Angreifer Zugriff auf die Konten und E-Mails Betroffener hätten verschaffen können. Entdeckt hatten die Lücke Redakteure bei Wired Deutschland. Sie informierten das Unternehmen United Internet, dem die drei Anbieter angehören. Die Lücke wurde inzwischen geschlossen. Wie viele Kunden tatsächlich betroffen waren, und ob die Lücke aktiv ausgenutzt wurde, ist aber nicht bekannt.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Angreifbar seien alle Kunden gewesen, die das Setzen von Cookies bei Web.de, GMX oder 1und1 im Webmailer blockierten. Ein Angreifer hätte dem Opfer lediglich einen Link zu einem Server unter seiner Kontrolle per E-Mail schicken brauchen. Hätte das Opfer auf den Link geklickt, wäre auch die aktuelle Session-ID an den Angreifer übermittelt worden, der so Zugriff auf das Konto erhalten hätte. Die E-Mail-Provider hätten versäumt, einen sogenannten Dereferer dazwischenzuschalten, also eine HTML-Seite des Providers, die die Session-ID herausfiltert. Stattdessen wurde dort ein 302-Redirect verwendet, der eben jene Session-ID enthielt. Wäre ein Cookie gesetzt worden, wäre dort die Session-ID gespeichert und nicht mehr übertragen worden.

United Internet reagierte, indem es seit dem 14. August den Zugang zum Webmailer verweigert, wenn das Setzen von Cookies im Browser gesperrt ist. Wie lange die Lücke bestand, ist nicht bekannt. Wer auf sein Konto bei den entsprechenden Anbietern über die Webmail-Benutzeroberfläche ohne Cookie zugegriffen hat, sollte vorsichtshalber sein Passwort neu setzen.



Anzeige
Top-Angebote
  1. 297€ + Versand oder Abholung im Markt
  2. (u. a. HP Pavilion Gaming 32 HDR für 369€ + Versand - Bestpreis!)
  3. 699€ + Versand (PCGH-Preisvergleich ab 755€)
  4. (u. a. Oculus Go 32GB/64 GB für 149,90€/199,90€ inkl. Versand - Bestpreis!)

albob81 19. Aug 2015

In solchen Fällen müssen halt die entsprechenden Stellen das Zertifikat für ungültig...

Brotbüchse aus... 19. Aug 2015

Wenn ich die bestehende Session abmelde und mich neu anmelde, ist die alte Session doch...

Crono 19. Aug 2015

Wer immer noch nicht weiß wann man welche links anklicken darf, der sollte die Finger vom...

Dingens 19. Aug 2015

ui, deja vu. wollte vor ein paar tagen auch in meinen alten account, ging nicht...


Folgen Sie uns
       


Fallout 76 - Fazit

Fallout 76 ist in vielerlei Hinsicht nicht wie seine Vorgänger. Warum, erklären wir im Test-Video.

Fallout 76 - Fazit Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
    Google Nachtsicht im Test
    Starke Nachtaufnahmen mit dem Pixel

    Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
    Ein Test von Tobias Költzsch

    1. Pixel 3 Google patcht Probleme mit Speichermanagement
    2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
    3. Google Dem Pixel 3 XL wächst eine zweite Notch

    Autonome Schiffe: Und abends geht der Kapitän nach Hause
    Autonome Schiffe
    Und abends geht der Kapitän nach Hause

    Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
    Ein Bericht von Werner Pluta

    1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
    2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
    3. Power Pac Strom aus dem Container für Ozeanriesen

      •  /