36584

Gefahr für alle Webmailer

22.09.2008 | 14:53 Uhr |

Offenbar ist niemand davor gefeit, dass sich wie bei US-Vizepräsidentschaftskandidatin Sarah Palin Unbefugte Zugang zum privaten Webmail-Konto verschaffen.

Vergangene Woche hatte ein Hacker mit dem Pseudonym „Rubico“ behauptet, er habe sich durch die automatische Passwort-zurücksetzen-Funktion von Yahoo Palins Kennwort erschlichen und so ihr Konto geknackt. Kollegen der Computerworld haben in einigen schnellen Tests nachgewiesen, dass diese Art von Missbrauch nicht nur bei Yahoo Mail , sondern auch bei Google Mail und Microsoft Hotmail möglich ist.

Alle drei Dienste arbeiten mit einer automatischen Passwort-Reset-Funktion, durch die die Redakteure der Computerworld in die Konten von Kollegen eindringen konnten. Dazu mussten sie nur den Benutzernamen kennen und eine der allgemeinen Sicherheitsfragen richtig beantworten. Die persönlichen Informationen, die dafür nötig sind – beispielsweise der Mädchenname der Mutter oder der Name eines Haustiers –, ließen sich zum Teil recht einfach im Internet oder in sozialen Netzwerken herausfinden. Der ominöse „Rubico“, hinter dem einige den 20 Jahre alten Sohn eines demokratischen US-Politikers aus Tennessee vermuten, hatte behauptet, er hätte nach nur 45 Minuten Online-Recherche Palins Passwort geknackt.

Bei allen drei Webmail-Diensten ließ sich das Passwort komplett online zurücksetzen. Eine alternative Mail-Adresse, an die das neue Passwort geschickt wird, war keine zwingende Voraussetzung.

Laut Adam O’Donnell vom Sicherheitsanbieter Cloudmark ist die automatische Passwort-Reset-Funktion bei allen Webmailern Standard, unabhängig davon, ob es sich um einen Gratis-Dienst handelt oder das Mailkonto Bestandteil des Internet-Service-Provider-Pakets ist. Bei ISPs seien die Gewinnmargen so gering, dass sich eine telefonische Betreuung der Kunden nicht lohne.

Obwohl einige Sicherheitsexperten bezweifeln, dass es sich bei Palin tatsächlich um einen Passwort-Hack gehandelt hat, hält O’Donnell die von Rubico beschriebene Vorgehensweise für plausibel.

0 Kommentare zu diesem Artikel
36584