Frontier: "Passwort zurücksetzen" ermöglichte Übernahme von Accounts

Auf der Webseite des US-Providers Frontier Communications wurde eine schwerwiegende Sicherheitslücke entdeckt. Über die integrierte "Passwort zurücksetzen"-Funktion bestand die Möglichkeit, fremde Benutzerkonten zu übernehmen. Das Feature wurde inzwischen vorläufig deaktiviert.
Bevor ein Nutzer sein Passwort neu festlegen kann, wird üblicherweise ein an die hinterlegte E-Mail-Adresse gesendeter Zugangscode benötigt. Der Sicherheitsforscher Ryan Stevenson hat jetzt herausgefunden, dass die Anzahl an Eingabeversuchen bei Frontier nicht limitiert ist. Somit können beliebig viele Codes hintereinander an den Server gesendet werden.

Dieser Prozess lässt sich mit einem entsprechenden Netzwerk-Tool wie zum Beispiel Burp Suite automatisieren. Während ein falscher Zugangscode dabei eine 522 Byte lange Antwort erzeugt, kann man den richtigen Code an einer 796 Byte langen Antwort erkennen. Passwort-Reset bei FrontierDer Code kann anschließend verwendet werden, um ein neues Passwort festzulegen.

Funktion wurde temporär gesperrt

Frontier Communications hat ZDNet mitgeteilt, dass eine interne Untersuchung eingeleitet wurde. Als Vorsichtsmaßnahme wurde die Möglichkeit zum Zurücksetzen von Passwörtern außerdem temporär komplett deaktiviert. Bislang bleibt noch unklar, ob die Schwachstelle tatsächlich von Angreifern ausgenutzt wurde. Da vor der "Passwort zurücksetzen"-Funktion allerdings ein Captcha eingegeben werden muss, wären mit einer hohen Wahrscheinlichkeit lediglich gezielte Angriffe auf einzelne Konten möglich gewesen.

Bei Frontier handelt es sich nicht um den einzigen Internet-Provider mit einer derartigen Schwachstelle. Im Mai wurde ein Fehler auf der Webseite von T-Mobile bekannt. Hiermit konnten viele Kundendaten unkontrolliert ausgelesen werden. Diese Sicherheitslücke wurde ebenfalls von Ryan Stevenson entdeckt.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:10 Uhr Lisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/LenovoLisen Legion Go/ROG Ally/Steam Dock, 13-in-1 Dockingstation mit 5 USB 3.0 und 2.0, Zwei Lüftern, HDMI 4K bei 60 Hz, Gigabit Ethernet, 100 W Aufladung für Stream Deck/Lenovo
Original Amazon-Preis
79,98
Im Preisvergleich ab
?
Blitzangebot-Preis
53,98
Ersparnis zu Amazon 33% oder 26
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!