Original-URL des Artikels: https://www.golem.de/news/security-sicherheitsluecke-bei-1und1-web-de-und-gmx-1508-115826.html    Veröffentlicht: 18.08.2015 14:44    Kurz-URL: https://glm.io/115826

Security

Sicherheitslücke bei 1und1, Web.de und GMX

Eine Sicherheitslücke bei den E-Mail-Anbietern von United Internet, darunter Web.de, GMX und 1und1 hätten Angreifer ausnutzen können, um sich Zugriff auf Kundenkonten zu verschaffen. Die Lücke ist inzwischen geschlossen.

Mehrere E-Mail-Konten bei Web.de, GMX und 1und1 waren potenziell von einer Sicherheitslücke betroffen, über die sich Angreifer Zugriff auf die Konten und E-Mails Betroffener hätten verschaffen können. Entdeckt hatten die Lücke Redakteure bei Wired Deutschland. Sie informierten das Unternehmen United Internet, dem die drei Anbieter angehören. Die Lücke wurde inzwischen geschlossen. Wie viele Kunden tatsächlich betroffen waren, und ob die Lücke aktiv ausgenutzt wurde, ist aber nicht bekannt.

Angreifbar seien alle Kunden gewesen, die das Setzen von Cookies bei Web.de, GMX oder 1und1 im Webmailer blockierten. Ein Angreifer hätte dem Opfer lediglich einen Link zu einem Server unter seiner Kontrolle per E-Mail schicken brauchen. Hätte das Opfer auf den Link geklickt, wäre auch die aktuelle Session-ID an den Angreifer übermittelt worden, der so Zugriff auf das Konto erhalten hätte. Die E-Mail-Provider hätten versäumt, einen sogenannten Dereferer dazwischenzuschalten, also eine HTML-Seite des Providers, die die Session-ID herausfiltert. Stattdessen wurde dort ein 302-Redirect verwendet, der eben jene Session-ID enthielt. Wäre ein Cookie gesetzt worden, wäre dort die Session-ID gespeichert und nicht mehr übertragen worden.

United Internet reagierte, indem es seit dem 14. August den Zugang zum Webmailer verweigert, wenn das Setzen von Cookies im Browser gesperrt ist. Wie lange die Lücke bestand, ist nicht bekannt. Wer auf sein Konto bei den entsprechenden Anbietern über die Webmail-Benutzeroberfläche ohne Cookie zugegriffen hat, sollte vorsichtshalber sein Passwort neu setzen.  (jt)


Verwandte Artikel:
Cloud Made in Germany: Verschlüsselter Cloudspeicher bei GMX und Web.de gestartet   
(27.11.2017, https://glm.io/131354 )
Log-in-Allianz: Prosieben, GMX und Zalando starten Single-Sign-on-Dienst   
(28.07.2017, https://glm.io/129176 )
TV-Streaming: 1&1 bietet Konkurrenz zu Telekoms Entertain   
(29.12.2017, https://glm.io/131900 )
Webhosting lässt United Internet wachsen   
(07.05.2008, https://glm.io/59524 )
Schnelle Webseiten: Google bringt AMP für E-Mails   
(15.02.2018, https://glm.io/132790 )

© 1997–2019 Golem.de, https://www.golem.de/