Sicherheitslücke: E-Mailadressen bei T-Online lassen sich kapern

MDR INFO, 09.07.13
–> Beitrag anhören

Das Skript im Vordergrund löscht die bisherige E-Mailadresse (Foto: Voß)

MDR INFO hat zusammen mit einem Hacker aus Sachsen eine gravierende Sicherheitslücke beim E-Mail-Dienst T-Online der Telekom entdeckt. Dadurch kann sich ein Angreifer unter falscher Identität sogar Passwörter anderer Dienste zuschicken lassen. Theoretisch sind sogar Einkäufe auf Kosten des Opfers möglich.

Die E-Mail-Adressen bei der Telekom können innerhalb von Sekunden von Unbekannten  übernommen werden. Identitätsklau heißt das Stichwort. Und der Nutzer merkt davon zunächst nichts. Schuld daran ist eine Sicherheitslücke, die Matthias Ungethuem aus dem sächsischen Geringswalde entdeckt hat. Sein Programm, sein sogenanntes Script, lässt sich auf Internetseiten verstecken und diese dann zur Falle werden.

Wenn ich mein Script jetzt angreifen lassen, dann tut das im Hintergrund – ohne, dass das der Nutzer merkt – die E-Mailadresse des Nutzers ändern. Die alte E-Mailadresse wird damit verfallen. Das heißt, die alte E-Mailadresse ist zur Registration für alle Nutzer der ganzen Welt wieder frei. Und genau in dem Moment kann sich der Angreifer zum zweiten Mal einklinken und den Namen der E-Mailadresse übernehmen.

Matthias Ungethuem hat die Sicherheitslück entdeckt (Foto: Voß)

MDR INFO hat es nachgeprüft: Konkret geht es um alle E-Mail-Adressen mit „t-online.de“ hinter dem @-Zeichen. Der Angreifer muss nichts anderes machen, als sein Opfer auf eine Internetseite zu locken. Zum Beispiel mit Werbebotschaften in einer E-Mail für günstige Fotobücher oder andere verlockene Angebote. Dieser Link führt dann auf eine vorbereitete Seite. Die Seite kann beliebig gestaltet sein, also auch eine Kopie einer bekannten Seite sein. Das unsichtbar eingebaute Script storniert nun den vorhandenen Namen vor dem @-Zeichen und ersetzt ihn durch einen anderen Namen. Das Opfer merkt zunächst nichts davon.

Von einem zweiten Computer aus beantragt der Reporter dann ganz legal auf der Telekom-Seite genau die Adresse, die wir gerade illegal gelöscht haben. Und tatsächlich ist sie frei und jetzt im Besitz des Reporters. Und der könnte damit einiges anfangen, erzählt Matthias Ungethuem.

Man könnte Geschäftskunden anschreiben und sich als jemand anderes ausgeben, weil man eben diese Adresse hat.

Und: Der Angreifer bekommt von nun auch alle E-Mails zugeschickt, die an die bisherige Adresse seines Opfers gerichtet sind. Das lässt sich ausnutzen, zum Beispiel beim Bestellen bei verschiedenen Online-Kaufhäusern.

Seit dem 30. Mai 2013 ist die Telekom
informiert (Foto: Voß).

Viele Internet-Händler haben einen Link, den man anklicken kann, wenn man sein Passwort vergessen hat. Dafür braucht man dann nur die eigene E-Mail-Adresse angeben, die  als sicher gilt. In unserem Fall nutzt nun der Angreifer die gekaperte Adresse, bekommt ein neues Passwort, kann damit über eine fingierte Lieferadresse im Namen des Opfers einkaufen.

Diese Sicherheitslücke entstanden, weil die Telekom selbst den Wechsel des E-Mail-Namens für ihre Nutzer ermöglicht. Dabei wird weder das Passwort abgefragt noch ein eingebautes Passwort – ein sogenannter Token – genutzt, wie es normalerweise üblich ist.

Was T- Online machen müsste, wäre, einen solchen Token einführen, das heißt: Vor dem Absenden wird der Token generiert, dann wird er übermittelt und wenn er nicht hinhaut, wenn er nicht übereinstimmt, dann kann man einfach nicht davon ausgehen, dass der Nutzer das war.

Auf dieses Problem hat Matthias Ungethuem die Telekom bereits vor sechs Wochen hingewiesen. Das Fax liegt MDR INFO vor. Es geschah nichts. Auf Nachfragen war die Telekom nicht bereit vor dem Mikrofon Stellung zu nehmen. In einer E-Mail hieß es lediglich, man nehme den Hinweis sehr ernst und prüfe den Vorgang.

Aktualisierung, 10.07.13

Nach Angaben der Telekom ist die Sicherheitslücke im Mailverkehr von T-Online geschlossen worden. Man habe eine zusätzliche Passwortabfrage eingebaut. MDR INFO hatte gestern darüber berichtet, dass es aufgrund fehlender Sicherheitsvorkehrungen möglich sei, E-Mail-Adressen der T-Online-Kunden zu kapern. Die Angreifer hätten dadurch die digitale Identität ihrer Opfer übernehmen können. Der Telekom ist nach eigenen Angaben kein derartiger Fall bekannt.

Andere Medien berichten zu dem Thema

(c) Michael Voß, www.michael-voss.de

2 thoughts on “Sicherheitslücke: E-Mailadressen bei T-Online lassen sich kapern

  1. Muss man sich doch aber mal fragen wo der das hingefaxt hat?! Die haben doch eine Myriade Faxnummern in dem Laden.

    Außerdem: War Matthias Ungetuehm nicht auch an einer Aufdeckung im vergangenen Jahr beteiligt? Da muss er doch über bessere Kontakte in den Telekom Konzern verfügen.

    Für mich ein mäßig recherchiertes, weil kaum hinterfragtes Gesamtbild.

    1. Tatsächlich hatte die Telekom vor einem Jahr einen ähnlichen Fehler. Tatsächlich habe ich damals darüber einen Beitrag gemacht. Und tatsächlich hat die Telekom auch diesmal erst reagiert, als im Radio darüber berichtet wurde. Und tatsächlich bestand auch diesmal wieder eine große Sicherheitslücke. Weshalb aber soll der Beitrag mäßig recherchiert sein? Was fehlt an Informationen? Und weshalb bleiben Sie lieber anonym?

Schreibe einen Kommentar