Schweres Sicherheits-Leck erlaubte Zugang zu GMX, Web.de und 1&1
Nutzer, die ihr E-Mail-Postfach bei einer der United Internet-Marken - also Web.de, GMX oder 1&1 - haben, schwebten bis vor wenigen Tagen ständig in der Gefahr, dass Unbefugte Zugang zu ihrer elektronischen Post bekommen. Das Sicherheitsproblem konnte erst am vergangenen Freitag behoben werden.
Infografik: E-Mail-Nutzung in Deutschland und der EU
Um Zugriff auf einen Account zu erhalten, benötigte man lediglich einen Webserver und Zugriff auf dessen Log-Dateien, berichtete das Magazin Wired Germany. Nun musste man einen Nutzer nur noch dazu bekommen, in einer zugeschickten E-Mail einen Link anzuklicken. Aus den Server-Logs ließen sich über den Referrer dann die jeweiligen Session-IDs herauslesen. Mit diesen konnte dann auf das Postfach zugegriffen werden, ohne, dass man die Login-Daten benötigte.
Das funktionierte allerdings nur, wenn die regulären Nutzer ihren Browsern die Annahme von Cookies untersagt haben und trotzdem per Webmail auf ihre E-Mails zugriffen. Statistisch gesehen, war so trotzdem noch eine Menge an Anwendern angreifbar, die in den Millionen-Bereich geht. Insgesamt sind bei den drei Anbietern unter dem Dach von United Internet rund 34 Millionen Accounts in aktiver Benutzung.
Wie lange das Problem bestand und ob es ausgenutzt wurde, ist unklar. Die Redaktion des Magazins hatte den Betreiber am vergangenen Dienstag auf die Situation aufmerksam gemacht, der es daraufhin behob. Laut dem Bericht war es zuvor bei mehreren Testläufen gelungen, ohne Zugangsdaten auf Accounts zuzugreifen, nachdem man die Session-ID gekapert hatte.
Potenziell konnte die Sicherheitslücke dafür sorgen, dass Angreifer Informationen aus einer größeren Zahl an Nutzerkonten abgreifen. In dem speziellen Fall dürfte die hauptsächliche Gefahr aber eher in der Möglichkeit gelegen haben, sehr gezielte Angriffe auf bestimmte Nutzer zu fahren und so beispielsweise die private Kommunikation von Bekannten auszuspionieren.
Infografik: E-Mail-Nutzung in Deutschland und der EU
Um Zugriff auf einen Account zu erhalten, benötigte man lediglich einen Webserver und Zugriff auf dessen Log-Dateien, berichtete das Magazin Wired Germany. Nun musste man einen Nutzer nur noch dazu bekommen, in einer zugeschickten E-Mail einen Link anzuklicken. Aus den Server-Logs ließen sich über den Referrer dann die jeweiligen Session-IDs herauslesen. Mit diesen konnte dann auf das Postfach zugegriffen werden, ohne, dass man die Login-Daten benötigte.
Das funktionierte allerdings nur, wenn die regulären Nutzer ihren Browsern die Annahme von Cookies untersagt haben und trotzdem per Webmail auf ihre E-Mails zugriffen. Statistisch gesehen, war so trotzdem noch eine Menge an Anwendern angreifbar, die in den Millionen-Bereich geht. Insgesamt sind bei den drei Anbietern unter dem Dach von United Internet rund 34 Millionen Accounts in aktiver Benutzung.
Wie lange das Problem bestand und ob es ausgenutzt wurde, ist unklar. Die Redaktion des Magazins hatte den Betreiber am vergangenen Dienstag auf die Situation aufmerksam gemacht, der es daraufhin behob. Laut dem Bericht war es zuvor bei mehreren Testläufen gelungen, ohne Zugangsdaten auf Accounts zuzugreifen, nachdem man die Session-ID gekapert hatte.
Potenziell konnte die Sicherheitslücke dafür sorgen, dass Angreifer Informationen aus einer größeren Zahl an Nutzerkonten abgreifen. In dem speziellen Fall dürfte die hauptsächliche Gefahr aber eher in der Möglichkeit gelegen haben, sehr gezielte Angriffe auf bestimmte Nutzer zu fahren und so beispielsweise die private Kommunikation von Bekannten auszuspionieren.
Thema:
United Internet Aktienkurs in Euro
Videos zum Thema
Beiträge aus dem Forum
Beliebt im Preisvergleich
- WLAN-Router mit Modem:
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Microsoft erklärt: Das sind die Update-Typen für Windows 11
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
Videos
Beliebte Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen