139540

Lycosmail-Konten unsicher

14.07.2000 | 12:09 Uhr |

In Lycosmail ist es möglich, unter fremdem Namen Mails zu lesen oder zu verschicken. Bis Freitag, 16 Uhr will Lycos das Problem behoben haben.

In Lycosmail ist es möglich, unter fremdem Namen Mails zu lesen oder verschicken. Ursache ist das so genannte Referrer-Problem, mit dem schon andere Webmail-Anbieter zu kämpfen hatten. Gemeint ist, dass ein Sitebetreiber aus seinen Logfiles ersehen kann, von welchen Websites die Besucher auf seine Seite weitergeleitet wurden. Voraussetzung, dass der Fehler auftritt, ist allerdings, dass der Kunde keine Cookies akzeptiert und dass er einen Link aus einer Mail heraus direkt öffnet.

Es kann sogar vorkommen, dass eine Session-ID oder gar Kundenname und Passwort in diesem Logfile vermerkt werden. Auf diese Weise war es bei Lycos möglich, Zugriff auf Mails und persönliche Daten des Kunden zu bekommen. Der Betreiber der Website www.pooker.de hatte in seinen Logfiles eine Session-ID von Lycos entdeckt. Als ihm klar wurde, dass er damit Einsicht in das Mailkonto eines Privatkunden aus Süddeutschland erhielt, benutzte er die Funktion "Optionen", um die Telefonnummer des betroffenen Lycos-Kunden zu erfahren. Er benachrichtigte ihn sofort und bekam nach einigen Schwierigkeiten auch Kontakt zu Lycos, wo er den Vorgang meldete.

Lycos ging anfangs noch davon aus, dass fremde Sitebetreiber während einer Zeitspanne von etwa zehn Minuten Zugriff auf das Konto des Kunden nehmen könnten. Inzwischen räumte John Eikenberry, Technischer Direktor von Lycos Europe aber gegenüber der PC-WELT ein, dass die Zeitspanne länger sei, als anfangs angenommen. "Sobald der Kunde sich ausloggt, ist die Gefahr aber auf jeden Fall gebannt." Bis heute nachmittag (14. Juli), 16 Uhr, will Lycos das Problem behoben haben.

Die PC-WELT empfiehlt eine Vorsichtsmaßnahme, die alle Kunden von Webmail-Konten wie Lycos, Hotmail oder Web.de ergreifen sollten: Öffnen Sie nie einen Link aus einer Mail. Unabhängig davon, wer Ihnen diesen Link geschickt hat, machen Sie damit Sicherheitslücken möglich. Kopieren Sie ihn stattdessen und fügen Sie ihn in die Kommandozeile Ihres Browsers ein. Dann sind Sie auf der sicheren Seite.(PC-WELT, 14.07.2000, meh)

Hotmail-Bug übermittelt Mail-Adressen (PC-WELT Online, 13.7.2000)

Sicherheitslücke in WhoWhere (PC-WELT Online, 9.6.2000)

ePost: Accounts verschwunden, Passwort als Klartext (PC-WELT Online, 27.6.2000)

Web.de schließt Sicherheitsloch (PC-WELT Online, 26.6.2000)

Neues Sicherheitsloch in Hotmail (PC-WELT Online, 25.4.2000)

0 Kommentare zu diesem Artikel
139540