Sicherheitslücke gefährdete Webmail-Konten von 1&1, Web.de und GMX

Nach Recherchen von Wired waren bis zu 1,7 Millionen Konten potenziell betroffen. Laut dem Betreiber der Angebote gab es jedoch keinen einzigen Fall, in dem die Lücke ausgenutzt wurde. Inzwischen ist sie geschlossen.

Die Webmail-Konten von 1&1, Web.de und GMX waren bis zum 14. August von einem massiven Sicherheitsproblem betroffen, das inzwischen behoben wurde. Das berichtet die deutsche Ausgabe von Wired. Demnach hätten sich Unbefugte vollständigen Zugriff auf die Postfächer von Millionen Konten verschaffen können, ohne Benutzername oder Passwort zu kennen. Dafür genügte es angeblich, dass der Anwender einen HTTPS-Link in einer empfangenen E-Mail anklickt.

Sicherheit (Bild: Shutterstock)Wired zufolge waren alle Nutzer der Webmail-Angebote von 1&1, Web.de und GMX potenziell gefährdet, die Browser-Cookies auf Smartphone oder Tablet deaktiviert haben und per Weboberfläche auf die E-Mail-Dienste zugreifen. Das Magazin spricht von bis zu 1,7 Millionen bedrohten Konten der United-Internet-Angebote. Insgesamt haben die drei Dienste rund 34 Millionen aktive Nutzer.

Angreifer hätten auf diese Weise in E-Mails enthaltene Passwörter, Kreditkartennummern sowie Log-in-Informationen entwendenden und mit den Daten aus dem Postfach sogar ganze Online-Identitäten stehlen können, schreibt Wired weiter. Man habe United Internet am 11. August über die Sicherheitslücke informiert und am 14. August festgestellt, dass sie bereits geschlossen wurde. Ein Sprecher von United Internet bestätigte, dass das Problem nicht mehr besteht. Zudem seien keine Fälle bekannt, in denen die Lücke tatsächlich ausgenutzt wurde.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Neuerdings erhalten Anwender beim Versuch, mit deaktivierten Cookies im Browser ihr Postfach zu öffnen, den Hinweis, dass sie Cookies zulassen müssen, um den Dienst zu nutzen. Beim Zugriff über die Desktop-Webseiten oder Client-Apps der jeweiligen Angebote beziehungsweise eines universellen E-Mail-Programms trat das Sicherheitsproblem nicht auf.

Konkret bestand es darin, dass unter den beschriebenen Umständen die Session-ID an den Server übertragen wurde. Dies geschah laut Wired per Referrer-URL: „Bei den betroffenen Portalen wurde ein 302-Redirect verwendet, der im Falle einer Verlinkung zwischen zwei HTTPS-Servern die Referrer-URL inklusive der Session-ID übermittelt“. Dies hätte es Dritten theoretisch erlaubt, sich gegenüber den Webservern von 1&1, Web.de und GMX als rechtmäßiger Nutzer auszugeben und so auf dessen Postfach zuzugreifen. Durch nun eingesetzte Dereferrer, die für eine Weiterleitung über zwischengeschaltete HTML-Seiten sorgen und die Session-ID aus dem Referrer entfernen, ist dies nun nicht mehr möglich.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Umfrage

Dürfen Mitarbeiter in Ihrem Unternehmen private Smartphones nutzen?

Ergebnisse anzeigen

Loading ... Loading ...

Themenseiten: E-Mail, GMX, Secure-IT, Security, United Internet, Web.de

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Sicherheitslücke gefährdete Webmail-Konten von 1&1, Web.de und GMX

Kommentar hinzufügen
  • Am 18. August 2015 um 16:46 von Hans

    Ja – Internet Made in Germany.

    Von führenden Neuländlern getestet und empfohlen.

    Von Anfang an DER Lacher, wird es nun echt peinlich !!!

  • Am 19. August 2015 um 8:00 von Hafenluemmel

    Gibt es wirklich eine nennenswerte Anzahl Anwender, die auf dem Smartphone oder Tablet *im Browser* ihre Post lesen? Und dann auch noch Cookies deaktiviert haben?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *