Sicherheitslücke bei Web.de, GMX und 1&1: Welche Nutzer jetzt aufpassen sollten

Sicherheitslücke. (Grafik: Shutterstock)
E-Mail-Sicherheitslücke bei GMX, Web.de und 1&1
Eine schwere Sicherheitslücke soll es Angreifern erlaubt haben, sich Zugriff auf die Postfächer von GMX-, Web.de- und 1&1-Nutzern zu verschaffen. Die Sicherheitslücke wurde von Wired entdeckt. Nach Angaben des Magazins habe man das Betreiberunternehmen United Internet am 11. August über die Sicherheitslücke informiert. Spätestens seit dem 14. August sei die Lücke geschlossen.
Betroffen waren laut Wired alle Nutzer, die von einem mobilen Browser aus mit deaktivierten Cookies auf das Web-Interface der betroffenen E-Mail-Dienste zugegriffen haben. Klickten sie in dieser Ansicht auf einen Link, haben GMX, Web.de und 1&1 die Session-ID per Referrer-URL übermittelt. Mittels dieser Session-ID konnten Angreifer zumindest theoretisch auf das Postfach der Betroffenen zugreifen und so beispielsweise Login-Daten oder andere sensible Informationen abgreifen. Allerdings auch nur, solange sich der eigentliche Nutzer nicht wieder abmeldet.
United Internet: Maximal 20.000 Kunden von GMX, 1&1 und Web.de sollen wirklich betroffen gewesen sein. (Screenshot: GMX)United Internet: Maximal 20.000 Kunden betroffen gewesen
Wired rechnet in dem Artikel vor, dass 1,7 Millionen Nutzer der drei United-Internet-Portale betroffen sein könnten. Auf Nachfrage von t3n.de sagte ein United-Internet-Sprecher jedoch, dass nur etwa 20.000 Kunden überhaupt mit deaktivierten Cookies über ein Smartphone oder Tablet auf das Web-Interface der betroffenen E-Mail-Dienste zugreifen. Zumal der Spam-Filter des Anbieters ein massenhaftes Ausnutzen der Sicherheitslücke ebenfalls erschwert haben müsste. Darüber hinaus sei dem Unternehmen kein Fall bekannt, in dem ein Angreifer die Lücke tatsächlich ausgenutzt habe.
Mittlerweile ist es für Nutzer von Mobilgeräten nicht mehr möglich, bei deaktivierten Cookies auf das Web-Interface zuzugreifen. Das ist bei anderen E-Mail-Anbietern allerdings schon seit einiger Zeit üblich. Wer auf sein E-Mail-Konto bei GMX, Web.de und 1&1 vom Smartphone oder Tablet aus nur per App zugreift, muss sich keine Gedanken machen. Wer jedoch tatsächlich mit deaktivierten Cookies von seinem Mobilgerät auf das Web-Interface der Anbieter zugegriffen hat, tut vermutlich gut daran, vorsorglich seine Passwörter zu ändern.
Vorher solltet ihr einen Blick auf unseren Artikel „Datenschutz: So wählt ihr sichere Passwörter für eure Accounts“ werfen.