Die Webmail-Konten von 1&1, Web.de und GMX waren bis zum 14. August von einem massiven Sicherheitsproblem betroffen, das inzwischen behoben wurde. Das berichtet die deutsche Ausgabe von Wired. Demnach hätten sich Unbefugte vollständigen Zugriff auf die Postfächer von Millionen Konten verschaffen können, ohne Benutzername oder Passwort zu kennen. Dafür genügte es angeblich, dass der Anwender einen HTTPS-Link in einer empfangenen E-Mail anklickt.
Angreifer hätten auf diese Weise in E-Mails enthaltene Passwörter, Kreditkartennummern sowie Log-in-Informationen entwendenden und mit den Daten aus dem Postfach sogar ganze Online-Identitäten stehlen können, schreibt Wired weiter. Man habe United Internet am 11. August über die Sicherheitslücke informiert und am 14. August festgestellt, dass sie bereits geschlossen wurde. Ein Sprecher von United Internet bestätigte, dass das Problem nicht mehr besteht. Zudem seien keine Fälle bekannt, in denen die Lücke tatsächlich ausgenutzt wurde.
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Neuerdings erhalten Anwender beim Versuch, mit deaktivierten Cookies im Browser ihr Postfach zu öffnen, den Hinweis, dass sie Cookies zulassen müssen, um den Dienst zu nutzen. Beim Zugriff über die Desktop-Webseiten oder Client-Apps der jeweiligen Angebote beziehungsweise eines universellen E-Mail-Programms trat das Sicherheitsproblem nicht auf.
Konkret bestand es darin, dass unter den beschriebenen Umständen die Session-ID an den Server übertragen wurde. Dies geschah laut Wired per Referrer-URL: „Bei den betroffenen Portalen wurde ein 302-Redirect verwendet, der im Falle einer Verlinkung zwischen zwei HTTPS-Servern die Referrer-URL inklusive der Session-ID übermittelt“. Dies hätte es Dritten theoretisch erlaubt, sich gegenüber den Webservern von 1&1, Web.de und GMX als rechtmäßiger Nutzer auszugeben und so auf dessen Postfach zuzugreifen. Durch nun eingesetzte Dereferrer, die für eine Weiterleitung über zwischengeschaltete HTML-Seiten sorgen und die Session-ID aus dem Referrer entfernen, ist dies nun nicht mehr möglich.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…