Frontier: "Passwort zurücksetzen" ermöglichte Übernahme von Accounts

Auf der Webseite des US-Providers Frontier Communications wurde eine schwerwiegende Sicherheitslücke entdeckt. Über die integrierte "Passwort zurücksetzen"-Funktion bestand die Möglichkeit, fremde Benutzerkonten zu übernehmen. Das Feature wurde inzwischen vorläufig deaktiviert.
Bevor ein Nutzer sein Passwort neu festlegen kann, wird üblicherweise ein an die hinterlegte E-Mail-Adresse gesendeter Zugangscode benötigt. Der Sicherheitsforscher Ryan Stevenson hat jetzt herausgefunden, dass die Anzahl an Eingabeversuchen bei Frontier nicht limitiert ist. Somit können beliebig viele Codes hintereinander an den Server gesendet werden.

Dieser Prozess lässt sich mit einem entsprechenden Netzwerk-Tool wie zum Beispiel Burp Suite automatisieren. Während ein falscher Zugangscode dabei eine 522 Byte lange Antwort erzeugt, kann man den richtigen Code an einer 796 Byte langen Antwort erkennen. Passwort-Reset bei FrontierDer Code kann anschließend verwendet werden, um ein neues Passwort festzulegen.

Funktion wurde temporär gesperrt

Frontier Communications hat ZDNet mitgeteilt, dass eine interne Untersuchung eingeleitet wurde. Als Vorsichtsmaßnahme wurde die Möglichkeit zum Zurücksetzen von Passwörtern außerdem temporär komplett deaktiviert. Bislang bleibt noch unklar, ob die Schwachstelle tatsächlich von Angreifern ausgenutzt wurde. Da vor der "Passwort zurücksetzen"-Funktion allerdings ein Captcha eingegeben werden muss, wären mit einer hohen Wahrscheinlichkeit lediglich gezielte Angriffe auf einzelne Konten möglich gewesen.

Bei Frontier handelt es sich nicht um den einzigen Internet-Provider mit einer derartigen Schwachstelle. Im Mai wurde ein Fehler auf der Webseite von T-Mobile bekannt. Hiermit konnten viele Kundendaten unkontrolliert ausgelesen werden. Diese Sicherheitslücke wurde ebenfalls von Ryan Stevenson entdeckt.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 10:30 Uhr Oukitel RT6 Outdoor Tablet 10.1-Zoll, 20000mAh Akku Android 13, 14 GB(8+6) RAM + 256 GB ROM IP68 Wasserdicht, 16 MP Kamera, Octa-Core, Dual SIM 4G LTE Tablet PC, 5G WiFi, GPS, OTGOukitel RT6 Outdoor Tablet 10.1-Zoll, 20000mAh Akku Android 13, 14 GB(8+6) RAM + 256 GB ROM IP68 Wasserdicht, 16 MP Kamera, Octa-Core, Dual SIM 4G LTE Tablet PC, 5G WiFi, GPS, OTG
Original Amazon-Preis
369,99
Im Preisvergleich ab
369,99
Blitzangebot-Preis
295,99
Ersparnis zu Amazon 20% oder 74
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!