Thema: Sicherheitsleck im 1&1 Webmailer 2.0

[SiLæncer]

Im 1&1 Webmailer 2.0 wurde eine Sicherheitslücke entdeckt, die Unbefugten den Zugriff auf E-Mail-Adressen erlaubt. Dabei können Nutzer alle E-Mail-Adressen erreichen, die einem 1&1-Server zugeordnet sind und die eigentlich nur für den Serververwalter einsehbar sein sollten.
Golem.de-Leser Ralf Schambier hat die Sicherheitslücke im 1&1 Webmailer 2.0 entdeckt und der Redaktion gemeldet. Seine Erfahrungen hat er in einem Blog veröffentlicht. Ein Leser des Blogs hat den beschriebenen Fehler ebenfalls bestätigt. Schambier ist per Zufall auf das Sicherheitsleck gestoßen, als er über den 1&1 Webmailer 2.0 eine E-Mail schreiben wollte.

Der Webmailer bietet eine Autovervollständigung beim Tippen einer E-Mail-Adresse. Dabei werden immer alle E-Mail-Konten berücksichtigt, die über einen 1&1-Server verwaltet werden. Dadurch kann jeder der Kunden des Serververwalters einsehen, welche E-Mail-Adressen der Serverbesitzer verwaltet.

Schambier hat 1&1 nach eigenen Aussagen auf den Fehler hingewiesen, bisher aber keine Antwort erhalten.

Quelle : www.golem.de

[SiLæncer]

Nach Ansicht von 1&1 weist der Webmailer 2.0 kein Sicherheitsloch auf. Stattdessen wird das Verhalten als besondere Funktion angesehen. Mit dem 1&1 Webmailer 2.0 können Unbefugte Zugriff auf E-Mail-Adressen anderer Nutzer erhalten.
Im 1&1 Webmailer 2.0 können Nutzer alle E-Mail-Adressen einsehen, die einem 1&1-Server zugeordnet sind und die eigentlich nur für den Serververwalter einsehbar sein sollten, wie Golem.de berichtete. In einer Antwort von 1&1 heißt es, dass es sich hierbei nach Ansicht des Unternehmens nicht um eine Sicherheitslücke, sondern vielmehr um eine spezielle Funktion handelt. Im 1&1 Webmailer 2.0 wurde ein globales Adressbuch integriert, über das sich alle zum Vertrag gehörenden E-Mail-Adressen einsehen lassen.

Hierbei tritt aber das Problem auf, dass es 1&1-Kunden gibt, die als Weiterverkäufer agieren und unter anderem über ihren Vertrag E-Mail-Konten für andere bereitstellen. In einem solchen Fall können eben alle zu diesem Vertrag gehörenden Nutzer alle damit verknüpften E-Mail-Adressen einsehen.

Obwohl 1&1 dieses Verhalten nicht als Sicherheitsloch einstuft, ist nach Unternehmensangaben bereits eine Fehlerkorrektur in Arbeit, die wohl in Kürze in den Webmailer 2.0 integriert wird. Als Zwischenlösung kann der Vertragsinhaber im Control Center den alten 1&1 Webmailer aktivieren.

Quelle : www.golem.de

[Jürgen]

Meiner Ansicht nach handelt es sich sehr wohl um eine schwere Sicherheitslücke.

Erstens sind E-Mail-Adressen grundsätzlich vertrauliche persönliche Daten, es sei denn, der Inhaber selbst verbreitet sie.
Und eine Zustimmung zur Verbreitung der Adresse(n) erteilen die Kunden von 1&1 nicht automatisch.
Zweitens erstellt 1&1 den DSL-Kunden automatisch eine solche Adresse, mit quasi zufälligem Namensteil, die anschliessend für Verwaltungszwecke im Zusammenhang mit dem Vertragsverhältnis verwendet wird.
Diese zu verraten könnte sogar als gefährliches und vertragswidriges Verhalten interpretiert werden.

Zwar ist es auch bei Freemailern möglich, im Einzelfall die erfolgte Vergabe einer Adresse zu verifizieren, indem man ebendiese selbst anzumelden versucht und dann scheitert, doch dies sollte normalerweise nicht automatisiert und massenhaft möglich sein.

Aber auf die beschriebene Weise könnten gewerbliche Spammer anscheinend leicht an lange Listen tatsächlich vergebener Adressen kommen, immerhin ein wichtiger Teil ihres Geschäfts.

So geht es nicht.
Ein gewisses Problembewusstsein zu zeigen schuldet ein grosser Provider seinen Kunden sicherlich...

Jürgen