MailDomainbug: Zugang ohne Authentifizierung

25. August 2015 | Von | Kategorie: Domain News, Domain Smalltalk

United Internet: Sicherheitslücke bei Millionen mobilen Mail Accounts

United Internet betreibt u.a. Web.de, GMX und 1&1. Rund 34 Millionen Nutzer sind permanent mit Mailadressen der drei Anbieter virtuell unterwegs und nutzen diese auch auf Tablets und Smartphones. Die mobilen Mail Accounts sind vor allem bei Nutezrn beliebt, die E-Mail-Apps ablehnen und einen größeren Schutz der Privatsphäre bevorzugen.

Sicherheitslücke durch Magazin WIRED entdeckt
Das Magazin WIRED entdeckte in der Traffic-Software der eigenen Domain einen unbekannten Link, der auf Hackeraktivitäten hindeutete. Dadurch könnten Hacker in E-Mail-Konten eindringen und damit persönliche Daten, Bankdaten und Adressbücher entwenden. Zudem wären das Einschleusen von Schadsoftware, der Diebstahl von sogenannten Online-Identitäten und der Versand von infizierten Spammails problemlos für Cyberkriminelle möglich. Dadurch hätten die Hacker einen möglicherweise erweiterten Zugriff auf andere Mailkonten.

Die Sicherheitslücke betraf alle Nutzer von mobilen Mail Accounts auf Tablets und Smartphones, die Cookies deaktiviert hatten. Bei United Media Kunden betrifft das rund 5% aller Nutzer, also etwa 1.7 Millionen Accounts. Durch eine einfache Webmail-Interface Abfrage häten die Hacker Zutritt zu den Accounts – ohne die Logins oder Passwörter zu benötigen.

Sicherheitsleck wurde umgehend geschlossen
WIRED wandte sich nach der Entdeckung der Lücke in den Mobilaccounts auch an United Internet und gab die Informationen über die möglichen Folgen für User weiter. Wie lange dieses Leck zu jenem Zeitpunkt schon bestand und ob User geschädigt wurden, ist nicht bekannt.

United Internet schloss umgehend die Sicherheitslücke und traf vorsorgliche Maßnahmen. Demnach haben Nutzer von mobilen Mail Accounts, die Cookies deaktivieren, seit dem 14. August 2015 keinen Zugriff mehr auf die Mobilplattformen von 1&1, Web.de und GMX.

Tipps von WIRED zur Sicherheit von mobilen Accounts
Das Onlinemagazin WIRED weist in der aktuellen Ausgabe auf das Problem hin und empfiehlt aufgrund der Angreifbarkeit, mobile Mail Accounts sporadisch oder in Notfällen zu nutzen. Zudem ist es wichtig, dass durch den Mail Clienten nur SSL verschlüsselte Verbindungen aufgebaut werden. Diese Einstellung kann durch User manuell in jedem Mail Clienten vorgenommen werden. Eine sichere Alternative zu mobilen Mail Accounts sind E-Mail-Apps, betont die WIRED-Redaktion.

 

Schreibe einen Kommentar