1&1 schließt Lücke im Kunden-Control-Center
Durch einfaches Ändern der URL ließen sich Support-Vorgänge im Control Center ausspähen. Teilweise enthielten diese auch vertrauliche Daten.
- Daniel Bachfeld
1&1 hat eine Sicherheitslücke in seinem Online-Support-Center geschlossen, durch die jeder Kunden Einblicke in aktuelle Support-Vorgänge anderer Kunden gewinnen konnte. Teilweise waren vertrauliche Daten einsehbar.
Dazu genügte es, nach einem Login ins eigene Konto im 1&1 Control Center, die Attachment-ID in der URL zu ändern und die Anhänge im Browser zu öffnen. heise Security liegt ein Perl-Skript vor, das innerhalb kürzester Zeit zahlreiche Support-Anhänge herunterladen kann.
1&1 benötigte nach einem Hinweis auf die Lücke nur wenige Stunden, um sie zu schließen. Nach Angaben von Andreas Maurer, Presssprecher bei 1&1, wurde die verwundbare Funktion erst vor wenigen Wochen implementiert – leider erst nach einem Penetrationstest, den laut Maurer ein IT-Sicherheitsunternehmen bei 1&1 durchgeführt hatte. (dab)