Sicherheitsloch bei T-Online Webmail heute geschlossen
Entgegen den Behauptungen von T-Online war es potenziellen Angreifern bis zum heutigen Samstag Nachmittag möglich, Passwörter fremder Webmail-Konten zu ändern.
T-Online hat erst am heutigen Nachmittag die jüngst bekannt gewordene Sicherheitslücke in T-Online Webmail zuverlässig geschlossen. Angreifer konnten bis dahin durch einen vergleichsweise simplen Trick die Schutzmaßnahmen umgehen und Passwörter fremder Webmail-Accounts ändern und die Konten von innen verriegeln.
Ein c't-Leser hatte T-Online und heise online auf die immer noch bestehende Lücke aufmerksam gemacht: Es reichte aus, wenn T-Online-Kunden eine Webseite oder eine HTML-formatierte E-Mail des Angreifers lasen, während sie beim Bonner Provider eingewählt waren, um dem Angreifer vollen Zugriff auf das eigene Email-Konto zu geben. Wenn der Kunde den HTML-Code auf dem heimischen Rechner ausführte, wurden im Hintergrund Parameter an ein Skript auf dem T-Online-Server übergeben, die das Passwort änderten.
Deshalb haben Techniker von T-Online jetzt den Zugriff auf die Skripte ganz gesperrt. Längerfristig wollen sie die eigentliche Ursache des Problems abstellen: Um das Webmail-Passwort zu ändern, müssen T-Online-Kunden dann ihr altes Passwort eingeben. Bisher nutzt Webmail zur Identifizierung lediglich die Kunden-Kennungsdaten, die bei der Provider-Einwahl im Hintergrund übergeben werden. (hob)
