Sicherheitslücke erlaubt Kapern von E-Mail-Adressen von T-Online

Der E-Mail-Dienst von T-Online weist offenbar eine gravierende Sicherheitslücke auf, durch die sich T-Online-Adressen innerhalb von Sekunden übernehmen lassen. Entdeckt hat die Schwachstelle Matthias Ungethuem aus dem sächsischen Geringswalde, wie MDR Info berichtet.

Angreifer könnten das Sicherheitsleck für Identitätsdiebstahl ausnutzen. Dazu müssten sie ihr Opfer nur auf eine präparierte Webseite locken, die mithilfe eines Scripts ohne Zutun des Nutzers eine Anfrage an einen T-Online-Server schickt. Dadurch wird die Änderung des E-Mail-Alias vor dem @-Zeichen veranlasst, sodass die ursprüngliche Adresse anschließend wieder neu vergeben werden kann.

Registriert der Angreifer die freigewordene Adresse anschließend auf sich selbst, kann er sie beliebig nutzen. Beispielsweise hat er die Möglichkeit, sich unter Verwendung der häufig angebotenen Funktion „Passwort vergessen“ Zugriff auf das Konto des ursprünglichen Adressenbesitzers bei anderen Webdiensten zu verschaffen. Denn ein neues Passwort wird automatisch an die hinterlegte E-Mail-Adresse gesendet. Theoretisch ließen sich so auch Online-Käufe im Namen des Opfers durchführen.

Bei dem jetzt aufgedeckten Sicherheitsleck handelt es sich um eine sogenannte Cross-Site-Request-Forgery-Schwachstelle (CSRF). Die präparierte Webseite des Angreifers schiebt dem Browser des Nutzers eine HTTP-Request unter, die die entsprechende Funktion zur Freigabe des E-Mail-Alias auf der T-Online-Website generiert. Dies wird dadurch ermöglicht, dass die Deutsche Telekom bei dem Vorgang offenbar keine weitere Sicherheitsabfrage oder Prüfung eines eingebauten Token durchführt.

„Was T-Online machen müsste, wäre, einen solchen Token einzuführen. Das heißt: Vor dem Absenden wird der Token generiert, dann wird er übermittelt, und wenn er nicht übereinstimmt, kann man einfach nicht davon ausgehen, dass der Nutzer das war“, erklärte Ungethuem gegenüber MDR Info. Er habe die Telekom bereits vor sechs Wochen auf die Schwachstelle hingewiesen, ohne das etwas geschah. Auf Nachfrage teilte der Bonner Konzern mit, man arbeite derzeit mit Hochdruck an der Beseitigung der Lücke.

Update von 17 Uhr: Die Telekom hat inzwischen mitgeteilt, die Schwachstelle am Vormittag beseitigt zu haben. In der Stellungnahme heißt es: „Uns liegen keine Erkenntnisse vor, dass tatsächlich E-Mail-Adressen von T-Online-Kunden gekapert wurden. Wir haben die Sicherheitslücke durch eine zusätzliche Abfrage des Passwortes inzwischen geschlossen. Grundsätzlich aber sollten unsere Kunden nur Websites öffnen, denen sie vertrauen. Hinweise auf Schwachstellen oder Sicherheitslücken nehmen wir ernst und bitten sie an folgende Adresse zu melden: cert@telekom.de.“

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de