1&1-Kunden-Login war ohne Passwortschutz

Ein riesiges Sicherheitsloch klaffte bis heute Abend beim Webhoster 1&1. Es genügte, am Kunden-Frontend eine bei 1&1 gehostete Domain einzugeben, um in den Adminstrationsbereich zu gelangen -- eine Bestätigung per Passwort war nicht erforderlich. Dort hatte man dann uneingeschränkten Zugriff auf das Webhosting-Paket des zur Domain gehörenden Kunden, konnte also zum Beispiel Passwörter einsehen und ändern. Auch dedizierte Server von 1&1 waren von der Panne betroffen.

Von einem Leser darauf aufmerksam gemacht, informierte heise online 1&1 umgehend über das Sicherheitsloch. Innerhalb einer halben Stunde hat der Provider die Möglichkeit für Kunden, sich per Domainnamen anzumelden, komplett unterbunden. Ingrun Senft, Pressereferentin von 1&1, wies darauf hin, dass nur bestimmte Gruppen von Domains von dem Problem betroffen gewesen seien.

Ein Missbrauch der Sicherheitslücke sei bisher nicht bekannt. "Sollte sich dennoch rausstellen, dass ein solcher Missbrauch stattgefunden hat, ließe sich das mithilfe der Logfiles belegen, sodass eine strafrechtliche Verfolgung eingeleitet werden kann", betonte Senft. Wie lange die Lücke klaffte, konnte am heutigen Abend noch nicht ermittelt werden. (hob)