SicherheitslĂĽcke beim Web.de-Trustcenter
Durch ein Sicherheitsloch im Web-Frontend des Web.de-Trustcenters lagen Kundendaten ungeschĂĽtzt im Internet.
Durch ein Sicherheitsloch im Web-Frontend des Web.de-Trustcenters lagen Kundendaten ungeschĂĽtzt im Internet. Der Leser Florian Holzhauer hatte die SicherheitslĂĽcke am Freitag vormittag entdeckt und das Unternehmen informiert. Mittlerweile hat Web.de die LĂĽcke geschlossen.
Durch Eingabe einer beliebigen Seriennummer konnte man die Daten der Inhaber von Sicherheitszertifikaten abfragen. Per Webformular waren auf diese Weise Namen, Email-Adresse, Postleitzahl, Wohnort, und -- sofern angegeben -- auch die Firmen der Kunden zu erfahren.
Am Nachmittag besserte das Trust-Center nach: Nur noch nach der Angabe eines Hash-Wertes konnte auf die Daten zurückgegriffen werden. Allerdings wurde die Lücke dadurch immer noch nicht ganz geschlossen: Veränderte man in der URL-Zeile des Browsers die Seriennummer, konnte man wiederum auf beliebige Datensätze zurückgreifen. Erst auf Drängen von heise online wurde auch dieses Loch geschlossen.
Eigentlich ist das Web-Formular dafür gedacht, um erhaltene Mails zu verifizieren. Wer eine signierte oder verschlüsselte Mail erhält, bekommt gleichzeitig die Seriennummer des Zertifikats und einen Hash-Wert übermittelt. Mit diesen Angaben kann man sich gegenüber dem Trust-Center als Empfänger der Mail ausweisen und erhält Zugriff auf die Daten des Absenders.
Durch einen Fehler wurde die Überprüfung des Hash-Wert abgeschaltet. Das Trustcenter übermittelte die Kundendaten auch ohne die korrekte Eingabe. Holzhauer konnte mit einem einfachen Skript die Abfrage sogar automatisieren und so Hunderte von Datensätzen abrufen. Mit einem solchen Skript hätte das komplette Verzeichnis der Trustcenter-Kunden abgerufen werden können. Für Spam-Versender wäre eine Datenbank voller verifizierter Mailadressen mit Angaben über den Wohnort Gold wert gewesen. (Torsten Kleinz) / (pab)
