Sicherheitslücke bei Lycos Mail

Eine Sicherheitslücke bei Lycos Mail erlaubt Webmastern eventuell Zugriff auf die Konten des Freemail-Service. Wie Lycos gestern in einer offiziellen Stellungnahme eingestand, tritt das Problem bei Nutzern des alten Dienstes Mail.com auf – mittlerweile ist die Beta-Phase des neuen Mail-Service Canbox allerdings abgeschlossen.

Es müssen aber mehrere Faktoren zusammenspielen, damit die Sicherheitslücke ausgenutzt werden kann: Der Benutzer akzeptiert keine Cookies und hat sein Mail-Account geöffnet – oder zumindest dürfen nicht mehr als zehn Minuten seit dem Logout vergangen sein. Klickt ein Kunde dann auf einen Web-Link in seiner E-Mail, wird mit der Referer-URL auch die Session-ID des Mail-Kontos übertragen. Ein Webmaster könnte diese Lücke ausnutzen, indem er einen Link auf seine Seite an Lycos-Kunden verschickt, die gerade ihren Account offen haben.

Die Firma Mail.com, die den alten Mail-Service von Lycos anbietet, sei laut Lycos verständigt und arbeite an der Lösung des Problems. Lycos will seine Kunden via E-Mail informieren und rät dazu, das neue E-Mail-System zu verwenden. (pab)