Sicherheitslücke: E-Mail-Konten bei Web.de, GMX und 1&1 waren bedroht

Andreas Frischholz
43 Kommentare
Sicherheitslücke: E-Mail-Konten bei Web.de, GMX und 1&1 waren bedroht
Bild: Micky Aldridge | CC BY 2.0

Bei den E-Mail-Portalen Web.de, GMX und 1&1 hat bis vor kurzem eine Sicherheitslücke bestanden. Mit dieser konnten Angreifer unter bestimmten Voraussetzungen das Konto eines Nutzers vollständig kapern, ohne den Benutzernamen oder das Passwort zu kennen. Das berichtet die deutsche Online-Ausgabe des Magazins Wired.

Gefährdet waren demnach alle Nutzer, die die Web-Interfaces von Web.de, GMX und 1&1 verwenden und Cookies deaktiviert haben. Um das Konto zu übernehmen, musste ein Angreifer lediglich eine E-Mail mit einem HTTPS-Link an das Konto schicken. Wenn dieser von dem Kontoinhaber angeklickt wurde, ist – bei deaktivierten Cookies – die jeweilige Session-ID über die Referrer-URL an den anderen HTTPS-Server übermittelt worden. Mit der Session-ID haben Angreifer dann die Möglichkeit, einen vollen Zugriff auf das Konto zu erhalten. So lassen sich dann sämtliche Informationen auslesen, die dort gespeichert sind – also etwa Kontaktadressen, Passwörter von anderen Diensten, die per E-Mail zugeschickt wurden, sowie Kreditkartennummern.

Insgesamt haben die E-Mail-Portale Web.de, GMX und 1&1 – die alle zu United Internet zählen – über 30 Millionen Nutzer. Da im Schnitt aber nur fünf Prozent aller Internetnutzer mit deaktivierten Cookies surfen, geht Wired davon aus, dass maximal 1,7 Millionen Nutzer von den E-Mail-Portalen gefährdet waren. Und das ist auch nur der Fall, wenn diese das Web-Interface verwenden. Denn sobald ein Nutzer einen E-Mail-Client verwendet, besteht das Problem ohnehin nicht mehr.

Mittlerweile hat United Internet diese Sicherheitslücke auch geschlossen. „Wie ich inzwischen von den zuständigen Fachkollegen erfahren habe, besteht dieses Sicherheitsproblem nicht mehr“, sagte ein Sprecher des Unternehmens gegenüber Wired Germany. Auf das Sicherheitsproblem wurde das Magazin vor rund zwei Wochen aufmerksam, weil ein verdächtiger Link im Traffic der Webseite auftauchte. Wie lange die Sicherheitslücke zuvor bestanden hat, ist allerdings nicht klar. Ebenso wenig ist bekannt, ob diese bereits von Angreifern ausgenutzt wurde, um Nutzerkonten zu kapern. Zumindest laut Aussage von United Internet sind keine entsprechenden Vorfälle bekannt.

Dennoch hat das Unternehmen mittlerweile den Zugang zu den mobilen E-Mail-Portalen gesperrt, sobald Cookies deaktiviert sind. Das wäre auch bei anderen Portalen „wie beispielsweise T-Online, Microsoft und Yahoo“ üblich, sagte ein Sprecher des Unternehmens. Nichtsdestotrotz empfiehlt Wired, dass Nutzer die Web-Interfaces nur im Notfall benutzen. Für den Alltag wäre ein E-Mail-Client eine sichere Alternative.