Die Webmail-Konten von 1&1, Web.de und GMX waren bis zum 14. August von einem massiven Sicherheitsproblem betroffen, das inzwischen behoben wurde. Das berichtet die deutsche Ausgabe von Wired. Demnach hätten sich Unbefugte vollständigen Zugriff auf die Postfächer von Millionen Konten verschaffen können, ohne Benutzername oder Passwort zu kennen. Dafür genügte es angeblich, dass der Anwender einen HTTPS-Link in einer empfangenen E-Mail anklickt.
Angreifer hätten auf diese Weise in E-Mails enthaltene Passwörter, Kreditkartennummern sowie Log-in-Informationen entwendenden und mit den Daten aus dem Postfach sogar ganze Online-Identitäten stehlen können, schreibt Wired weiter. Man habe United Internet am 11. August über die Sicherheitslücke informiert und am 14. August festgestellt, dass sie bereits geschlossen wurde. Ein Sprecher von United Internet bestätigte, dass das Problem nicht mehr besteht. Zudem seien keine Fälle bekannt, in denen die Lücke tatsächlich ausgenutzt wurde.
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Neuerdings erhalten Anwender beim Versuch, mit deaktivierten Cookies im Browser ihr Postfach zu öffnen, den Hinweis, dass sie Cookies zulassen müssen, um den Dienst zu nutzen. Beim Zugriff über die Desktop-Webseiten oder Client-Apps der jeweiligen Angebote beziehungsweise eines universellen E-Mail-Programms trat das Sicherheitsproblem nicht auf.
Konkret bestand es darin, dass unter den beschriebenen Umständen die Session-ID an den Server übertragen wurde. Dies geschah laut Wired per Referrer-URL: „Bei den betroffenen Portalen wurde ein 302-Redirect verwendet, der im Falle einer Verlinkung zwischen zwei HTTPS-Servern die Referrer-URL inklusive der Session-ID übermittelt“. Dies hätte es Dritten theoretisch erlaubt, sich gegenüber den Webservern von 1&1, Web.de und GMX als rechtmäßiger Nutzer auszugeben und so auf dessen Postfach zuzugreifen. Durch nun eingesetzte Dereferrer, die für eine Weiterleitung über zwischengeschaltete HTML-Seiten sorgen und die Session-ID aus dem Referrer entfernen, ist dies nun nicht mehr möglich.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…