1&1: Kundenportal akzeptierte jedes Passwort

In dem zu 1&1 gehörigen Webhosting-Kundenportal configtools.de klaffte ein schwerwiegendes Sicherheitsloch: Der Dienst hat in etlichen Fällen jedes beliebige Passwort akzeptiert. Da als Login-Name lediglich eine mit dem Kundenkonto verknüpfte Domain eingegeben werden muss, hätte man sich leicht administrativen Zugriff auf unzählige Hosting-Pakete und Domains verschaffen können. Entdeckt hat das Problem die Webdesign-Agentur Bochmann im Rahmen eines Sicherheits-Audits. Das Unternehmen setzt sich daraufhin mit 1&1 und heise Security in Verbindung. Wir konnten das Problem verifizieren.

Betroffen waren jene Kunden, die ihren Vertrag vor dem Jahr 2007 über Reseller der Schlund+Partner AG abgeschlossen haben. Schlund wurde 2000 von 1&1 zu 100 Prozent übernommen, 2007 ging das Unternehmen schließlich in der 1&1 Internet AG auf. Offenbar gibt es noch viele Verträge, die älter als acht Jahre sind: heise Security konnte auf Anhieb mehrere tausend potenziell betroffene Domains ausfindig machen – vermutlich ist die tatsächliche Anzahl noch viel größer. Anscheinend war es sogar möglich, neben 1und1.de unter anderem auch die zum Mutterkonzern United Internet gehörigen Domains gmx.de und web.de zu konfigurieren.

Gegenüber heise Security erklärte 1&1, dass es sich um einen " temporären Software-Fehler" handelte, durch den "es am 21.01.2015 zwischen 10-19.00 Uhr bei einem sehr eingeschränkten Kundenkreis vereinzelt möglich" war, "den Login-Prozess zu Configtools.de mit abweichenden Login-Daten abzuschließen und so einen Lese- und Schreibzugriff zu erhalten". Demnach ist die Lücke erst kurz bevor sie durch die Agentur Bochmann entdeckt wurde aufgetreten. In dem angegebenen Zeitraum soll es bei einer niedrigen dreistelligen Kundenanzahl zu Login-Aktivitäten gekommen sein. Die betroffenen Kunden sollen heute per Mail über die Sicherheitspanne informiert und gebeten werden, ihre Kundendaten zu überprüfen. (rei)