Sicherheitsprobleme im IMAP-Betrieb bei GMX [Update]

GMX-Kunde Mario Jung staunte, als er plötzlich fremde Mails in seinem Posteingang vorfand: "Ich hatte meinen Account gerade von POP auf IMAP umgestellt, da fand ich auf einmal etwa ein Dutzend Nachrichten, die an einen anderen GMX-Kunden adressiert waren", berichtete er heise online. "Es handelte sich nicht um Spam oder ähnliche Massen-Mails, sondern um persönliche Mitteilungen". Nach der nächsten Synchronisation sei die fremde Post dann aber wieder verschwunden.

Am vergangenen Freitag konnten wir ein ähnliches Phänomen live miterleben. Als wir mit einem Pocket-PC über das IMAP-Protokoll auf ein GMX-Konto zugriffen, fanden sich plötzlich 64 Nachrichten in der Inbox, die allesamt an einen Jürgen W. adressiert waren -- eine vollkommen fremde Person. Auch die Ordnerstruktur hatte sich merkwürdig verändert. Eine kurze Testmail, abgesandt über einen anonymen Webmailer, bestätigte: Wir hatten nicht nur Zugriff auf ein fremdes Nachrichten-Archiv, wir konnten auch sämtliche eingehenden Nachrichten einsehen. Auch das Löschen der Testmail war problemlos möglich.

Zwischen Newslettern und Werbemails fanden sich in dem Postfach auch durchaus kritische Nachrichten, beispielsweise die Anmeldebestätigung für das Online-Rechnungsverfahren bei einem großen Telekommunikationskonzern -- inklusive Usernamen und Passwort. Ein Missbrauch dieser Daten hätte wohl eine Menge Ärger für ihren Inhaber verursacht.

Wir riefen bei Jürgen W. an und informierten ihn darüber, dass wir IMAP-Zugriff auf sein Mail-Konto hatten. Herr W. fiel erklärlicherweise aus allen Wolken. Sicherheitshalber empfahlen wir ihm, vorerst keine Nachrichten mehr auf dem Server zu belassen. Auch drei Stunden nach unserer ersten Meldung beim GMX-Support war das Problem noch nicht behoben. Etwa eine Stunde nach diesem zweiten Anruf sahen wir schließlich nur noch die eigenen Nachrichten in unserem Posteingang.

GMX-Kunde Stefan Schmidt berichtete uns von einem Vorfall, der mit diesem Defekt in Zusammenhang stehen könnte: "Ich erhielt eine Mail von eBay, in der man sich für die Verifizierung meiner E-Mail-Adresse bedankte", erklärte Schmidt. Diese Bestätigungs-Mails versendet das Online-Auktionshaus eigentlich nur, nachdem ein Nutzer zuvor aktiv auf einen Link in einer vorangegangenen Mail geklickt hat. Diese erste Nachricht hat Schmidt jedoch nie gesehen. Seine Befürchtung: Ein Unbekannter habe zwischenzeitlich die Herrschaft über sein E-Mail-Konto gehabt.

Noch ein weiterer GMX-Kunde, dessen Name der Redaktion bekannt ist, berichtete von merkwürdigen Erlebnissen: Er bekam die Nachricht eines Internet-Forums, in der darum gebeten wurde, durch eine entsprechende Reaktion seine Daten zu bestätigen. Solche Mails können natürlich das Resultat von Vertippern oder Buchstabendrehern sein. Aber: "Dummerweise fand ich noch eine zweite Mail, in der ich dazu beglückwünscht wurde, dass der Account nach erfolgreicher Registrierung nun freigeschaltet ist", berichtet der Kunde. Nach eigenen Angaben arbeitet er selbst in der IT-Branche und verwendet ausschließlich sichere Passwörter. All diese Fälle traten beim Promail-Tarif auf, einer kostenpflichtigen Variante des GMX-E-Mail-Diensts.

Anfang dieser Woche erläuterten wir der GMX-Geschäftsführung unsere Erkenntnisse und baten um eine Stellungnahme. Nicole Braun, Sprecherin der GMX-Mutter United Internet, teilte uns mit, dass "ein vergleichbarer Fehler bisher nicht dokumentiert wurde". Auch sei es nicht gelungen, den Fehler zu reproduzieren. Einen Angriff auf die GMX-Infrastruktur vermutet sie nicht: "Aufgrund der durchgeführten Tests schließt die GMX-Technik aus, dass der Fehler zu Zwecken des Missbrauchs absichtlich herbeigeführt und ausgenutzt werden kann." Trotzdem habe man nun aus Sicherheitsgründen "einen weiteren Plausibilitätscheck" eingeführt.

Eines hielt man in Hause GMX aber offenbar für verzichtbar: Bis zum gestrigen Mittwochabend hatte sich niemand bei Jürgen W. gemeldet und ihn über die kurzfristige Störung informiert oder sich gar bei ihm entschuldigt. "Eine Warnung, dass etwas nicht in Ordnung ist, hätte ich mir schon gewünscht", sagt W. "Das ist ja schließlich kein Kostenlos-Konto." (Mario Sixtus)

[Update]:
GMX teilte heise online am heutigen Donnerstagnachmittag mit, den Fehler in der selbst entwickelten IMAP-Serversoftware behoben zu haben. Anhand des von uns dokumentierten Falls sei es gelungen, das Problem zu analysieren. Der beschriebene Fall sei sehr selten aufgetreten.

Der Darstellung von GMX zufolge waren abgestürzte Prozesse auf den Mailservern Ursache des Problems. Jeder Prozess hat nach den Angaben von GMX eine Port-Nummer, an die während der IMAP-Session die Kundennummer gekoppelt werde. Stürzte er ab, löschte der Server diese Bindung nicht. "Wenn der Kunde dann einige Zeit wartete, bis er wieder seine Mails abrief, konnte es passieren, dass das Betriebssystem diesen Port an einen anderen Kunden, der sich genau in dieser Zeit per IMAP angemeldet hat, vergab", erläuterte GMX-Sprecherin Nicole Braun. "Wenn dann Kunde 1 wieder auf seine Mailbox zugriff, konnte er auf die Mailbox des Kunden 2 zugreifen"

Die Sprecherin betonte, dass die Wahrscheinlichkeit für diese Fälle sehr gering gewesen sei. "Zum einen gibt es höchst selten Server-Prozess-Abstürze, die überdies nicht bewusst herbeigeführt werden können. Zum anderen gibt es über 60.000 mögliche Ports, von denen gleichzeitig in der Regel zehn vergeben sind. Unter diesen zehn musste der sein, den der Kunde 1 gehabt hatte. Selbst dann hatte hat Kunde 1 genau eine Chance, den Fehler präsentiert zu bekommen. Andernfalls wurde der ursprüngliche Fehler (Zuordnung wurde nicht gelöscht) korrigiert." (hob)