Sicherheitsloch bei T-Online entdeckt ... und vorerst gestopft

Seit etwa Mai 2001 konnten potenzielle Angreifer durch ein Sicherheitsloch auf die WebMail-Konten von T-Online-Usern zugreifen. Dabei hätten sie davon profitieren können, dass sich WebMail-Nutzer beim Ändern des Passworts lediglich durch ihre E-Mail-Adresse authentifizieren müssen und nicht wie etwa bei Freemailern durch zusätzliche Eingabe des alten Passworts. Der 19-jährige Zivildienstleistende Stefan Rohde demonstriert das von ihm entdeckte Sicherheitsloch auf seiner Website Perletarier.de anhand eines JavaScripts.

Mit diesem Script wäre es Angreifern prinzipiell möglich gewesen, Passwörter von WebMail-Accounts zu ändern. Danach hätten sich Hacker unter einer fremden Idendität anmelden und E-Mails beliebig lesen, löschen und verschicken können. Nähere Details dazu liefert Stefan Rohde auf seiner Website. Seit heute Vormittag funktioniert das Script unverändert jedoch nicht mehr.

In einem Gespräch mit heise online sagte Michael Schlechtriem von der T-Online-Pressestelle: "Das Problem war uns bisher nicht bekannt. Gestern wurden wir auf die Sicherheitslücke hingewiesen und haben die betroffenden Seiten vom Netz genommen." Auf die Frage, warum die Sicherheitslücke auch heute morgen noch existierte, antwortete er: "Zu Testzwecken haben wir die Seiten online stehen lassen. Vermutlich konnten einige Nutzer durch die Verwendung ihrer Bookmarks auf die fehlerhaften Bereiche bis zum Vormittag zugreifen. Wichtig ist jedoch, dass kein WebMail-Konto von einem Hackerangriff betroffen ist."

Das Grundproblem hat T-Online aber noch nicht im Griff. Beim Ändern von Passwörtern werden WebMail-Nutzer weiterhin nicht nach dem alten Passwort gefragt. (daa)