Sicherheitslücke gefährdete Webmail-Konten von 1&1, Web.de und GMX

Die Webmail-Konten von 1&1, Web.de und GMX waren bis zum 14. August von einem massiven Sicherheitsproblem betroffen, das inzwischen behoben wurde. Das berichtet die deutsche Ausgabe von Wired. Demnach hätten sich Unbefugte vollständigen Zugriff auf die Postfächer von Millionen Konten verschaffen können, ohne Benutzername oder Passwort zu kennen. Dafür genügte es angeblich, dass der Anwender einen HTTPS-Link in einer empfangenen E-Mail anklickt.

Wired zufolge waren alle Nutzer der Webmail-Angebote von 1&1, Web.de und GMX potenziell gefährdet, die Browser-Cookies auf Smartphone oder Tablet deaktiviert haben und per Weboberfläche auf die E-Mail-Dienste zugreifen. Das Magazin spricht von bis zu 1,7 Millionen bedrohten Konten der United-Internet-Angebote. Insgesamt haben die drei Dienste rund 34 Millionen aktive Nutzer.

Angreifer hätten auf diese Weise in E-Mails enthaltene Passwörter, Kreditkartennummern sowie Log-in-Informationen entwendenden und mit den Daten aus dem Postfach sogar ganze Online-Identitäten stehlen können, schreibt Wired weiter. Man habe United Internet am 11. August über die Sicherheitslücke informiert und am 14. August festgestellt, dass sie bereits geschlossen wurde. Ein Sprecher von United Internet bestätigte, dass das Problem nicht mehr besteht. Zudem seien keine Fälle bekannt, in denen die Lücke tatsächlich ausgenutzt wurde.

Neuerdings erhalten Anwender beim Versuch, mit deaktivierten Cookies im Browser ihr Postfach zu öffnen, den Hinweis, dass sie Cookies zulassen müssen, um den Dienst zu nutzen. Beim Zugriff über die Desktop-Webseiten oder Client-Apps der jeweiligen Angebote beziehungsweise eines universellen E-Mail-Programms trat das Sicherheitsproblem nicht auf.

Konkret bestand es darin, dass unter den beschriebenen Umständen die Session-ID an den Server übertragen wurde. Dies geschah laut Wired per Referrer-URL: „Bei den betroffenen Portalen wurde ein 302-Redirect verwendet, der im Falle einer Verlinkung zwischen zwei HTTPS-Servern die Referrer-URL inklusive der Session-ID übermittelt“. Dies hätte es Dritten theoretisch erlaubt, sich gegenüber den Webservern von 1&1, Web.de und GMX als rechtmäßiger Nutzer auszugeben und so auf dessen Postfach zuzugreifen. Durch nun eingesetzte Dereferrer, die für eine Weiterleitung über zwischengeschaltete HTML-Seiten sorgen und die Session-ID aus dem Referrer entfernen, ist dies nun nicht mehr möglich.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de