Security

"MDR Info" warnt T-Onliner-Nutzer vor Identitätsklau

Matthias Ungethuem aus Sachsen hat einen Weg gefunden, um sich eine E-Mail-Adresse anzueignen, die auf @t-online.de endet, und sich damit als eine andere Person auszugeben.

10.07.2013, 11:31 Uhr
Arbeitsplatz© Brad / Fotolia.com

Matthias Ungethuem aus Sachsen hat einen Weg gefunden, um sich eine E-Mail-Adresse anzueignen, die auf @t-online.de endet, und sich damit als eine andere Person auszugeben. Von diesem möglichen Identitätsklau berichtet der Radiosender "MDR Info".

Alias wird sofort wieder freigegeben

Ungethuem hat dafür eine Webseite mit einem Script präpariert, das den Alias einer T-Online-Adresse wechseln kann, ohne dass der Nutzer etwas davon mitbekommt. Die Schwierigkeit besteht dann lediglich darin, diesen auf die manipulierte Webseite zu bekommen.

Anders als bei anderen E-Mail-Anbietern erlaubt T-Online, diesen gerade frei gewordenen Alias umgehend neu zu registrieren. Nachdem der Angreifer dieses gemacht hat, erhält er die Post, die an den vorherigen Nutzer adressiert war. Er kann sich auch selbst als dieser ausgeben und an Passwörter gelangen, um sich darüber in Onlineshops einzuloggen und einkaufen zu gehen. Die Shops erlauben meist die Zurücksetzung des bestehenden Passworts, indem ein Link an die bekannte E-Mail-Adresse geschickt wird.

T-Online reagiert nicht

Reich werden könnte ein tatsächlicher Angreifer auf diese Weise allerdings nicht, er würde schnell gefasst werden. Ungethuem ging es um die Aufdeckung einer Sicherheitslücke. Er informierte umgehend T-Online – sechs Wochen vor dem Bericht bei MDR Info –, erhielt aber keine Antwort. Auch dem Radiosender gegenüber wollte der Mail-Provider nicht Rede und Antwort stehen.

Eine Lösung für das Problem weiß Ungethuem auch. Andere Provider fragen beim Alias-Wechsel das Passwort oder zumindest einen Token ab.

(Peter Giesecke)

Kommentieren Forum
Zum Seitenanfang