Hello,
das eigentliche Problem entsteht durch mehrere korrespondierende Fehler, die alleine nicht wirksam werden müssen, aber zusammen explosiv wirken:
- eMail-Name bei einem Provider, der diesen nach dem Verfall des Accounts nach ca. 6 Monaten wieder neu vergibt (z. B.: 1&1)
- Passwort-vergessen-Funktion diverser Anbieter, die den eMail-Namen als sicher annimmt, und so alle erreichbaren Accounts des ursprünglichen eMail-Namens-Inhabers zur feindlichen Übernahme öffnet (wenn kein zusätzliches Credential erforderlich ist)
- Sogenannte "Info-Mails", z. B. über geänderte Geschäftsbedingungen, über die der feindliche Übernehmer des eMail-Namens erst auf die Angriffsziele aufmerksam gemacht wird.
Ich habe hier zusammen mit meinem Vater vor ca. zweieinhalb Jahren ein Experiment begonnen. Da er seinen Provider (1&1) nach einem Umzug nicht weiterhin beanspruchen konnte (TK hatte am Zielort exklusiv Fiber2Home verlegt), verfiel durch einen "Administrationsfehler" sein eMail-Account bei 1&1. Ich habe ihn nach ca. 6 Monaten für mich anmelden können. Mein Vater (selber IT-ler seit gefühlten 100 Jahren) war ganz gespannt auf die die von mir beschriebenen Sicherheitslücken.
Nun bekam ich kürzlich eine eMail, die mich auf geänderte Geschäftsbedingungen einer Bank hinwies und mir ermöglicht hat, durch die "Passwort-Vergessen-Funktion" Zugang zur äußeren Hülle des Bankaccounts zu erhalten. Ich konnte Einblick in das Konto nehmen.
Da haben mindestens drei Parteien etwas übersehen:
- 1&1 die Wiederverwendbarkeit von eMail-Namen
- mein Vater die Austragung des eMail-Kontakts aus der Bank
- die Bank die Identifikationslücke zwischen gespeichertem eMailnamen und Inhaber des Bankkontos
Der Versuch ist noch nicht beendet!
Glück Auf
Tom vom Berg