Die Sicherheitsexperten von mailbox.org wurden auf die Sicherheitslücke aufmerksam, nachdem Kundenim User-Forum von mailbox.org auf Übertragungsfehler beim Versenden von E-Mails über den myMail-Client hingewiesen haben. Nach einer gründlichen Untersuchung der Logs stellte das Team fest, dass die myMail-App versucht, Passwörter ohne die sonst vorgeschriebene TLS-Verschlüsselung ungesichert zu übertragen, was ein enormes Sicherheitsrisiko darstellt. Das Team war damit auch in der Lage, in den Verbindungen Nutzerpasswörter zu extrahieren.
Laut Peer Heinlein, Geschäftsführer von mailbox.org, lehnen ihre Server unverschlüsselte Verbindungen grundsätzlich ab, um die Nutzersicherheit zu gewährleisten. Nur aus diesem Grunde scheiterten die fehlerhaften Verbindungsversuche der myMail-App, so dass Nutzer und Postmaster von mailbox.org stutzig wurden.
Das Problem ist nicht nur für Kunden von mailbox.org relevant: Es stellt auch ein generelles Sicherheitsrisiko für alle Nutzer dar, die den myMail-Client verwenden. Sofern andere Provider unverschlüsselte Verbindungen erlauben und die myMail-App weiterhin funktioniert, könnten Dritte in diesen Fällen Passwörter abgreifen oder den Inhalt der ebenso unverschlüsselten E-Mails mitlesen, wenn diese über den myMail-Client versendet werden, insbesondere wenn Nutzer sich in einem offenen Netzwerk befinden.
Das Team von mailbox.org empfiehlt dringend, den myMail-Client in Verbindung mit ihrem Dienst oder anderen E-Mail-Providern vorerst nicht mehr zu verwenden, bis die Sicherheitsprobleme behoben wurden. Es gibt zahlreiche alternative E-Mail-Clients, die höhere Sicherheitsstandards bieten und die Privatsphäre von Nutzer:innen besser schützen. Gleichzeitig zeige der aktuelle Vorfall einmal mehr, wie wichtig es ist, ausschließlich über sicher konfigurierte und Verschlüsselung erzwingende Systeme zu kommunizieren.
Beide Konzerne wollen die Zahl der Anschlüsse deutlich steigern. Die Öffnung des Telekomnetzes gilt ihnen…
Vier von fünf Betrieben in Deutschland nutzen Cloud Computing. 39 Prozent davon waren in den…
Shanghai, July 2024. iFLYTEK hielt in Peking eine große Pressekonferenz ab, um den mit Spannung…
Die Webversion unterstützt macOS, iPadOS (Chrome und Safari) und Windows (Chrome und Edge). Weitere Plattformen…
Auftragnehmer ist der Neckarsulmer IT-Dienstleister Bechtle. Die Rahmenvereinbarung gilt bis 2027 und hat einen Wert…
Windows-Clients und -Server starten unter Umständen nur bis zum BitLocker-Wiederherstellungsbildschirm. Betroffen sind alle unterstützten Versionen…