Panne bei Web.de öffnete Mail-Accounts

Durch einen Konfigurationsfehler beim Freemail-Service standen am gestrigen Dienstag Abend alle E-Mail-Konten offen. Jeder Nutzer konnte sich mit beliebigen Passwörten in fremde Mail-Accounts einloggen.

In Pocket speichern vorlesen Druckansicht 225 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Patrick Brauch

Durch einen Konfigurationsfehler beim Freemail-Service von Web.de standen am gestrigen Dienstag Abend rund 900.000 E-Mail-Konten offen: Jeder Nutzer konnte sich mit beliebigen Passwörtern so in fremde Mail-Accounts einloggen. Auf Anfrage von heise Security bestätigte Pressesprecherin Eva Venneman das Sicherheitsproblem: Rund 30 Minuten lang standen die Mail-Accounts offen, betroffen war eine von neunzehn Datenbanken. Als man dies feststellte, wurden umgehend alle Session-IDs gelöscht und das System heruntergefahren. Das war die Ursache für einen zweistündigen Ausfall von Web.de am gestrigen Abend.

Auf das Sicherheitsproblem waren diverse Nutzer gestoßen, als sie sich beim Login vertippt hatten. Allerdings klappte das nicht immer, aber nach einigen Wiederholungen konnte man in jeden Mail-Account einloggen. Das lag daran, dass laut Vennemann nur 3 von 158 Login-Servern von dem Problem betroffen waren -- beim einem Login wählt das System den anzusprechenden Server mehr oder weniger zufällig aus. Da die Sicherheitslücke nur für rund eine halbe Stunde bestand, geht man bei Web.de nicht davon aus, dass sie im größeren Maßstab ausgenutzt wurde. Dennoch sollten sich die Nutzer des Dienstes im Klaren sein, dass gestern möglicherweise ihre Mails gelesen wurden oder in ihrem Namen Nachrichten verschickt wurden. (pab)