Durch eine Sicherheitslücke konnten bis vor vier Tagen Fremde auf E-Mail-Konten der Anbieter GMX, Web.de und 1&1 zugreifen, ohne das Passwort der jeweiligen Nutzer zu kennen. Das haben Recherchen der deutschsprachigen Ausgabe von Wired ergeben. "Wired hat uns darauf vergangene Woche aufmerksam gemacht. Wir haben diese Sicherheitslücke dann behoben", sagte GMX-Pressesprecher Sebastian Schulte auf Nachfrage von ZEIT ONLINE.
Der Zugriff war möglich, indem eine E-Mail mit einem HTTPS-Link an die Zieladresse versendet wurde. Klickte der Nutzer auf diesen Link, ließ sich später aus den Logdateien der aufgerufenen Seite ablesen, von wo der Nutzer kam. Das allein ist nicht ungewöhnlich. Allerdings übermittelten GMX, Web.de und 1&1 beim Klicken auf den Link auch die sogenannte Session-ID des aktuell geöffneten Postfachs. Kopierten die Angreifer diese, konnten sie ebenfalls direkten Zugang erhalten.
Theoretisch hätten Angreifer anschließend auf alle Inhalte des betroffenen Postfachs zugreifen können, also auf empfangene und versendete E-Mails, Entwürfe und deren Inhalte. Falls Nutzer sensible Daten wie Bankverbindungen, Kreditkartendaten in E-Mails verschickten, hätte ein Angreifer auch darauf zugreifen können. Auch wäre es denkbar, das Adressbuch des Nutzers dafür zu missbrauchen, um andere Nutzer mit dem schädlichen Link zu versorgen.
Nur ein Teil der Nutzer gefährdet
Von der Lücke waren allerdings nur die Nutzer betroffen, die per Tablet oder Smartphone das Browser-Interface der Mailanbieter aufriefen und die Verwendung von Cookies verweigerten. Wie Wired schreibt, betreffe das immerhin etwa 1,7 Millionen von rund 34 Millionen aktiven Kunden der drei Dienste. Der Provider United Internet, zu dem GMX, Web.de und 1&1 gehören, hat das Problem mittlerweile behoben: Jetzt sind Cookies für die Nutzer verpflichtend. "Wenn ein Nutzer Cookies abgeschaltet hat, bekommt er einen Hinweis über den Browser, dass er sie zulassen muss. Sonst kann er nicht mehr auf sein Postfach zugreifen", sagt Schulte.
GMX empfiehlt seinen Nutzern, die eigenen Apps oder zumindest E-Mail-Programme zu nutzen, die sich direkt mit dem Mailserver verbinden. Der Aufruf der Postfächer im Browser, ob mobil oder auf dem Desktop, birgt dagegen mehr Risiken: Wer seine E-Mails etwa im Urlaub im Internetcafé von einem unbekannten Computer abruft, weiß nicht, ob dort Software wie ein Keylogger installiert ist, der die Eingaben abgreifen kann. Wer vergisst, sich auszuloggen, überlässt das eigene Konto ungeschützt dem nächsten Nutzer. Und wer das Webinterface häufiger nutzt, ist schneller von Phishing-Versuchen betroffen: Hier wird den Nutzern eine gefälschte Login-Seite des Mailanbieters untergejubelt, auf die sie ihre Daten eingeben und Dritten somit ihre Passwörtern übermitteln.
Kein Datendiebstahl gemeldet
Unklar ist, ob die Lücke zu Datendiebstahl geführt hat. "Es hat sich kein Nutzer mit einem Problem bei uns gemeldet, das auf die Lücke zurückzuführen wäre. Es ist für uns ein sehr theoretisches Problem", sagt Schulte. GMX hält es nicht für nötig, seine Nutzer gesondert über die Lücke zu informieren. Der Anbieter verweist darauf, ein sicheres Passwort zu verwenden, was in diesem Fall aber wirkungslos ist, da für den Angriff das Passwort nicht benötigt wurde.
Nutzer, die in der Vergangenheit mit deaktivierten Cookies das mobile Web-Interface von GMX, Web.de oder 1&1 aufgerufen haben, können allerdings nicht wissen, ob ihnen Daten gestohlen wurden, da der Angriff keine Spuren hinterlässt. Wer auf seinen Account bei GMX, Web.de oder 1&1 in der Vergangenheit also mit deaktivierten Cookies von einem Mobilgerät zugegriffen hat, sollte überlegen, ob per E-Mail sensible Daten versandt wurden und dementsprechend wachsam sein.
Durch eine Sicherheitslücke konnten bis vor vier Tagen Fremde auf E-Mail-Konten der Anbieter GMX, Web.de und 1&1 zugreifen, ohne das Passwort der jeweiligen Nutzer zu kennen. Das haben Recherchen der deutschsprachigen Ausgabe von Wired ergeben. "Wired hat uns darauf vergangene Woche aufmerksam gemacht. Wir haben diese Sicherheitslücke dann behoben", sagte GMX-Pressesprecher Sebastian Schulte auf Nachfrage von ZEIT ONLINE.
Der Zugriff war möglich, indem eine E-Mail mit einem HTTPS-Link an die Zieladresse versendet wurde. Klickte der Nutzer auf diesen Link, ließ sich später aus den Logdateien der aufgerufenen Seite ablesen, von wo der Nutzer kam. Das allein ist nicht ungewöhnlich. Allerdings übermittelten GMX, Web.de und 1&1 beim Klicken auf den Link auch die sogenannte Session-ID des aktuell geöffneten Postfachs. Kopierten die Angreifer diese, konnten sie ebenfalls direkten Zugang erhalten.