Google dementiert Sicherheitslücke in Google Mail
In einer Stellungnahme äußert sich Google zu den Vorwürfen, dass neuerliche Manipulationen von Google-Mail-Konten durch eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) entstanden seien. Google weist diese Vorwürfe darin von sich und verweist auf simple Phishing-Angriffe.
Demnach habe eine Analyse zusammen mit den Benutzern der betroffenen Google-Mail-Konten ergeben, dass diese Opfer von Phishing-Angriffen geworden sind. Die Betrüger hätten sich auf diese Weise Zugriff auf die E-Mail-Konten verschafft und so anhand von Filtern ausgewählte E-Mails an sich weitergeleitet. So war es ihnen auch möglich, an die E-Mails von Domain-Verwaltern zu gelangen, mit denen man Passwörter zurücksetzen lassen kann. So wurden sie in die Lage versetzt, Domains wie beispielsweise den Newsdienst MakeUseOf.com, der bei GoDaddy.com registriert ist, zu transferieren oder freizugeben.
Darüber hinaus erklärt Google, dass eine bereits 2007 veröffentlichte CSRF-Schwachstelle entgegen anderslautender Vermutungen nicht mehr funktioniere. Um den eigenen Account sicher zu halten, empfiehlt Google seinen Kunden, nur auf SSL-gesicherte HTTP-Verbindungen zurückzugreifen und die möglicherweise angezeigten Zertifikate auch zu prüfen und nicht blind zu akzeptieren. Wie man die gesamte Sitzung bei Google Mail über HTTPS sichern kann, erläutert Google in einem eigenen Blog-Eintrag.