Am 11. August 2016 wurde von den drei E-Mail Anbietern 1&1, GMX und Web.de eine große Sicherheitslücke bekannt gegeben.
Unbefugte Nutzer hätten sich die Postfächer von anderen Leuten zu nutzen machen können und somit ganz persönliche Infos/Daten stehlen können. Die Empfänger hätten dafür nur einen HTTPS-Link in einer E-Mail anklicken müssen und hätten damit viele Infos
preis gegeben, die den Angreifern Passwörter, Kreditkartennummern sowie Log-in-Informationen geliefert hätten.
Das Magazin Wired spricht von ungefähr 1,7 bedrohten Konten von insgesamt 34 Millionen aktiven Nutzern.
Am 14. August 2016 wurde bestätigt, dass die Sicherheitslücke geschlossen sei und es keine Vorfälle gäbe.
Das Problem lag darin, dass die Session-ID an den Server weitergeleitet wurde. Ein Zitat von Wired beschreibt das Problem: “Bei den betroffenen Portalen wurde ein 302-Redirect verwendet, der im Falle einer Verlinkung zwischen zwei HTTPS-Servern die Referrer-URL inklusive der Session-ID übermittelt.” So hätte sich jeder als Besitzer des Kontos ausgeben können.
Die Anbieter haben jetzt Dereferrer eingesetzt, die für das Weiterleiten über zwischengeschaltete HTML-Seiten sorgen. Die Session-ID wird aus dem Referrer entfernt, wodurch kein Fremder in das Postfach kommt.
Mehr über die Sicherheitslücke bei E-Mail Konten erfahren Sie hier.