Mail-Konten von GMX, Web.de und 1&1 waren von schwerer Sicherheitslücke betroffen

Hacker hätten in E-Mails enthaltene Passwörter, Kreditkartennummern sowie Log-in-Informationen ergattern können. Inzwischen ist die Sicherheitslücke in den Webmail-Konten von GMX, Web.de und 1&1 behoben.

Es ist eine schwerwiegende Sicherheitslücke bekannt geworden, die bis zum 14. August die Webmail-Konten der Anbieter GMX, Web.de und 1&1 bedrohte. Inzwischen ist die Schwachstelle behoben, wie auf der Webseite Wired.de zu lesen ist. Über das Sicherheitsleck hätten sich Angreifer ohne die Kenntnis von Benutzernamen oder Passwörtern Zugriff auf die E-Mail-Konten von Millionen Kunden verschaffen können. Ein Klick auf einen per Mail empfangenen HTTPS-Link war angeblich schon ausreichend, um Hackern Tür und Tor zu öffnen.

Motivfoto Hacker (Bild: Shutterstock)

Potentiell bedroht von der Sicherheitslücke waren laut dem Bericht alle Anwender, die sich von ihren Smartphones und Tablets aus über die Weboberfläche von GMX, Web.de und 1&1 einloggten und dabei die Browser-Cookies deaktiviert hatten. Wired zufolge waren bis zu 1,7 Millionen Konten bedroht. Insgesamt haben die drei Portale des Anbieters United Internet rund 34 Millionen aktive Nutzer.

Durch die Sicherheitslücke hätten Angreifer in E-Mails enthaltene Passwörter, Kreditkartennummern sowie Log-in-Informationen erspähen können. Sogar ganze Online-Identitäten hätten sich stehlen lassen, so Wired. Die Webseite habe United Internet am 11. August über die massive Schwachstelle informiert und am 14. August festgestellt, dass sie bereits geschlossen wurde. Ein Sprecher von United Internet bestätigte, dass das Problem nicht mehr besteht. Zudem sollen dem Unternehmen keine Fälle bekannt sein, in denen die Lücke tatsächlich ausgenutzt wurde.

Seit neuestem erhalten Kunden beim Versuch, mit deaktivierten Cookies im Browser ihr E-Mail-Fach zu öffnen, den Hinweis, dass sie Cookies zulassen müssen, um den Dienst zu nutzen. Beim Zugriff über die Desktop-Webseiten oder Apps von GMX, Web.de und 1&1 beziehungsweise eines universellen E-Mail-Programms trat das Sicherheitsproblem nicht auf.

Konkret bestand es darin, dass unter den beschriebenen Umständen die Session-ID an den Server übertragen wurde. Dies geschah laut Wired per Referrer-URL: „Bei den betroffenen Portalen wurde ein 302-Redirect verwendet, der im Falle einer Verlinkung zwischen zwei HTTPS-Servern die Referrer-URL inklusive der Session-ID übermittelt“. Dies hätte es Dritten theoretisch erlaubt, sich gegenüber den Webservern der drei Anbieter als rechtmäßiger Nutzer auszugeben und so auf dessen Postfach zuzugreifen. Durch nun eingesetzte Dereferrer, die für eine Weiterleitung über zwischengeschaltete HTML-Seiten sorgen und die Session-ID aus dem Referrer entfernen, ist dies nun nicht mehr möglich.

[Mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Mail-Konten von GMX, Web.de und 1&1 waren von schwerer Sicherheitslücke betroffen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *