Gilly's playground

Die Resisto IT GmbH hat eine Sicherheitslücke bei T-Online, GMX und Web.de aufgedeckt, die es zumindest bei T-Online durch das Ausnutzen einer simplen Sicherheitslücke möglich macht, die Haupt-E-Mail Adressen herunterzuladen.

Die gleiche Lücke macht das ganze wohl auch bei GMX und Web.de möglich, allerdings unter größerem Aufwand. Es sind bis zu 14 Millionen Kunden betroffen.

Die Mitarbeiter von Resisto machten sich die allseits geforderte Bequemlichkeit der Kunden zunutze. Man ließ entweder wie bei der Telekom die Mailnamen aufgrund des alphanumerischen Aufbaus der E-Mail-Adresse hochzählen, oder fragt die Datenbanken der anderen Anbieter mittels so genannter Brute-Force-Angriffen ab. Angeblich sollen bei T-Online rein rechnerisch 100 Milliarden kurze Server-Anfragen ausreichen, um alle Hauptadressen aus der Datenbank zu entwenden. Tobias Huch dazu: “Bei GMX und Web.de bräuchten wir mit Sicherheit ein paar Tage oder Wochen länger, um einen großen und wertvollen Datenbestand zusammen zu haben, aber wir haben genügend Rechnerpower und eine 1000 MBit/s-Anbindung im Unternehmen, was für eine solche Unternehmung ausreichen dürfte. Professionelle Datendiebe und Spam-Versender haben nach unserem Stand der Erkenntnis sogar noch weit größere Ressourcen, um solch eine Lücke auszunutzen“.

Erotikunternehmer Huch machte bereits im Oktober 2008 als Datenschützer von sich reden. Er deckte einen Datenskandal bei T-Mobile auf, kurze Zeit später wurden seine Räumlichkeiten mit einer Hausdurchsuchung bedacht. Man hat damals wie heute erneut den Landesbeauftragten für den Datenschutz in Rheinland-Pfalz über die Lücke informiert. Für die nächste mit Sicherheit anstehende Hausdurchsuchung wurden schon vor einigen Tagen Osternester in den Räumlichkeiten versteckt, um den Beamten ihre Aufgabe “schmackhafter” zu gestalten. Man darf also gespannt abwarten, wie lange die nächste Hausdurchsuchung auf sich warten lässt, beziehungsweise wie viele der neuen Nester dann gefunden werden.

Quelle und Zitat: gulli:news