Sicherheitslücke erlaubt Kapern von E-Mail-Adressen von T-Online

Aufgrund einer Cross-Site-Request-Forgery-Schwachstelle kann ein Angreifer ohne Zutun des Nutzers die Freigabe des E-Mail-Alias veranlassen. Registriert er die freigewordene Adresse anschließend neu, kann er sich als ihr ursprünglicher Nutzer ausgeben.

Der E-Mail-Dienst von T-Online weist offenbar eine gravierende Sicherheitslücke auf, durch die sich T-Online-Adressen innerhalb von Sekunden übernehmen lassen. Entdeckt hat die Schwachstelle Matthias Ungethuem aus dem sächsischen Geringswalde, wie MDR Info berichtet.

Angreifer könnten das Sicherheitsleck für Identitätsdiebstahl ausnutzen. Dazu müssten sie ihr Opfer nur auf eine präparierte Webseite locken, die mithilfe eines Scripts ohne Zutun des Nutzers eine Anfrage an einen T-Online-Server schickt. Dadurch wird die Änderung des E-Mail-Alias vor dem @-Zeichen veranlasst, sodass die ursprüngliche Adresse anschließend wieder neu vergeben werden kann.

Der E-Mail-Dienst von T-Online weist eine Sicherheitslücke auf (Bild: Deutsche Telekom).

Registriert der Angreifer die freigewordene Adresse anschließend auf sich selbst, kann er sie beliebig nutzen. Beispielsweise hat er die Möglichkeit, sich unter Verwendung der häufig angebotenen Funktion „Passwort vergessen“ Zugriff auf das Konto des ursprünglichen Adressenbesitzers bei anderen Webdiensten zu verschaffen. Denn ein neues Passwort wird automatisch an die hinterlegte E-Mail-Adresse gesendet. Theoretisch ließen sich so auch Online-Käufe im Namen des Opfers durchführen.

Bei dem jetzt aufgedeckten Sicherheitsleck handelt es sich um eine sogenannte Cross-Site-Request-Forgery-Schwachstelle (CSRF). Die präparierte Webseite des Angreifers schiebt dem Browser des Nutzers eine HTTP-Request unter, die die entsprechende Funktion zur Freigabe des E-Mail-Alias auf der T-Online-Website generiert. Dies wird dadurch ermöglicht, dass die Deutsche Telekom bei dem Vorgang offenbar keine weitere Sicherheitsabfrage oder Prüfung eines eingebauten Token durchführt.

„Was T-Online machen müsste, wäre, einen solchen Token einzuführen. Das heißt: Vor dem Absenden wird der Token generiert, dann wird er übermittelt, und wenn er nicht übereinstimmt, kann man einfach nicht davon ausgehen, dass der Nutzer das war“, erklärte Ungethuem gegenüber MDR Info. Er habe die Telekom bereits vor sechs Wochen auf die Schwachstelle hingewiesen, ohne das etwas geschah. Auf Nachfrage teilte der Bonner Konzern mit, man arbeite derzeit mit Hochdruck an der Beseitigung der Lücke.

Update von 17 Uhr: Die Telekom hat inzwischen mitgeteilt, die Schwachstelle am Vormittag beseitigt zu haben. In der Stellungnahme heißt es: „Uns liegen keine Erkenntnisse vor, dass tatsächlich E-Mail-Adressen von T-Online-Kunden gekapert wurden. Wir haben die Sicherheitslücke durch eine zusätzliche Abfrage des Passwortes inzwischen geschlossen. Grundsätzlich aber sollten unsere Kunden nur Websites öffnen, denen sie vertrauen. Hinweise auf Schwachstellen oder Sicherheitslücken nehmen wir ernst und bitten sie an folgende Adresse zu melden: cert@telekom.de.“

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Deutsche Telekom, E-Mail, Secure-IT, T-Online

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Sicherheitslücke erlaubt Kapern von E-Mail-Adressen von T-Online

Kommentar hinzufügen
  • Am 10. Juli 2013 um 18:23 von Michael Schwarz

    „Grundsätzlich aber sollten unsere Kunden nur Websites öffnen, denen sie vertrauen.“ Eine wirklich sinnvolle Empfehlung, siehe:
    http://www10.pic-upload.de/10.07.13/apzqfnvu5qd.png
    http://www10.pic-upload.de/10.07.13/vve8sb2t6f2n.png

  • Am 10. Juli 2013 um 15:35 von Michael Schwarz

    Sorry, aber wo ist der Mehrwert zu dem ungenauen Artikel auf mdr.de?

    Wie wäre es mal mit der Info, ob und wenn ja, wie der T-Online-Kunde eingeloggt ist, denn, nur einfach einem Link folgen und die E-Mail-Adresse gehört jemand anderem, beschreibt das Problem weder korrekt noch ausreichend.

    • Am 10. Juli 2013 um 16:06 von RM

      Erstaunlich, oder auch nicht, wie viele Journalisten hier bereits als Trittbrettfahrer unterwegs sind und wie viele „Newsletter“ darüber berichten.

      Die Telekom lassen solche Geschichten offenbar unberührt. Offiziell weiß man auf mehreren Nachfragen von nichts…

  • Am 10. Juli 2013 um 14:16 von xar61

    wir haben uns alle verrannt in den irr-glauben, das nur neuere und modernere Systeme besonders sicher seien. Was die NSA Futzis können, können die bösen Jungs „leider“ schon lange. Dies ist eine Tatsache. Die Frage ist nur wie gehen wir nur damit um. Sicherheit gibt es nicht, aber wer auf totale Sicherheit setzen möchte, sollte seine Netzwerkverbindung trennen, den Stromstecker kappen, das Handy auf den Müll werfen und in der Steinzeit versuchen ein neues Leben zu beginnen. Die meisten von uns können dies nicht, und daher müssen wir mir der Panikmache der anderen halt leben und wachsam bleiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *