Bis Mitte August konnten unbekannte Dritte aufgrund einer Sicherheitslücke auf mehr als 1,7 Millionen E-Mailaccounts von WEB.DE, GMX und 1&1 zugreifen. Weder Benutzername oder Passwort wäre nötig gewesen, mit nur einem Klick auf einen manipulierten Link, den man in einer E-Mail bekommen hatte, war es Unbefugten möglich, auf das Postfach zuzugreifen, berichtet die deutsche Ausgabe der Wired. Gefährdet waren demnach alle Nutzer der Webmail-Angebote, die die Cookies auf ihrem Tablet oder Smartphone deaktiviert haben. Wie lange diese Sicherheitslücke der drei Anbieter, die zu United Internet gehören, bestand und ob sie auch missbraucht wurde, ist noch unklar.
Bemerkt wurde das Problem, “weil in der Software, mit der WIRED den Traffic auf seiner Website erfasst, ein verdächtiger Link auftauchte. Der ließ darauf schließen, dass es möglich sein könnte, sich in ein fremdes E-Mail-Konto einzuloggen.” Durch diese Sicherheitslücke hätten unbekannte Dritte den vollen Zugriff auf die Postfächer haben können und somit sogar “in E-Mails enthaltene Passwörter, Kreditkartennummern und Login-Informationen entwenden und mit den Informationen aus dem Postfach sogar ganze Online-Identitäten stehlen können.” Es hätte auch eine Kettenreaktion stattfinden können, indem ein Bot automatisiert E-Mails an die Kontakte von Nutzern verschickt. Klickt einer dieser Kontakte auf den Link, würde das ganze immer weiter und weiter gehen und der Zugriff auf noch mehr E-Mail-Postfächer wäre möglich gewesen.
Die drei Portale haben etwa 34 Millionen Nutzer, von denen fünf Prozent “permanent mit deaktivierten Cookies surfen”. Laut den Berechnungen der Wired wären dann bis zu 1,7 Millionen Accounts, “sofern diese per Webmail-Interface abgefragt wurden”, gefährdet gewesen. Viele nutzen die mobilen Mail-Portale, da sie wegen ihrer Privatsphäre oder aus anderen Gründen keine E-Mail-App auf ihren Geräten installieren möchten.
Kurz nachdem Wired United Internet auf das Problem hingewiesen hatte, wurde es auch schon behoben. Es ist jedoch unklar, wie lange die Sicherheitslücke schon bestand. Das Online-Magazin empfiehlt, mobile Mail-Portale nur im Notfall zu nutzen und es ist wichtig, darauf zu achten, dass der Mail-Client wirklich nur “verschlüsselte Verbindungen per SSL-Protokoll aufbaut – die entsprechende Einstellung lässt sich in jedem Mail-Client finden.” Auch, wenn einige es nicht installieren möchten, aber die Apps von E-Mail-Anbietern sind, wenn es um die Sicherheit geht, schon besser als die Webmail-Angebote.
Seit dem 14. August wird Nutzern, die die Cookies deaktiviert haben, der Zugang zu den Mobilplattformen von WEB.DE, GMX und 1&1 verweigert.
Image (adapted) „Close up person using smartphone“ by japanexperterna.se (CC BY-SA 2.0)
Artikel per E-Mail verschicken
Schlagwörter: 11, Cookies, GMX, link, Sicherheitslücke, united-internet, web.de, Webmail, WIRED GERMANY