Wie ich soeben auf Golem.de gelesen habe, gibt es eine Sicherheitslücke im 1&1 Webmailer 2.0. Durch Zufall entdeckte Ralf Schambier diesen Fehler, als er über den 1&1 Webmailer 2.0 eine E-Mail schreiben wollte.
Der Webmailer bietet eine Autovervollständigung beim Tippen einer E-Mail-Adresse. Es werden dabei immer alle E-Mail-Konten berücksichtigt, die über einen 1&1-Server verwaltet werden. Dadurch kann jeder der Kunden des Serververwalters einsehen, welche E-Mail-Adressen der Serverbesitzer verwaltet.
Diesen Fehler hat Ralf Schambier bereits in seinem Blog publiziert und sowohl verschiedene Redaktionen als auch 1&1 darüber informiert. Bis jetzt ist noch keine Antwort gekommen.
Mehrere User bestätigen diese Sicherheitslücke auf seinem Blog.
Nachtrag: Wir können das Problem auch bestätigen. Ebenfalls können wir auch bestätigen, das im Globalen Adreßbuch alle E-Mail Adressen aufgelistet sind, die auf dem 1&1 Server angelegt wurden. Sowas sollte definitiv nicht passieren… Wir warten mit Spannung auf die Reaktion von 1&1.
Sehr geehrter Herr Maurer,
vielen Dank für die schnelle und ausführliche Antwort auf meinen Beitrag. Es ist gut zu Wissen, das daß „Problem“ bereits in Arbeit ist und man sich darum kümmert.
Der neue Webmailer basiert auf unserer Kollaborationslösung 1&1 MailXchange und hat von dort das so genannte ‚globale Adressbuch‘ als Feature übernommen. Dabei werden dem Nutzer – in der Regel sind dies Firmen – alle zum Vertrag gehörenden MailXchange-Adressen angezeigt. Entsprechend ist dies keine Sicherheitslücke, sondern ein Feature.
Bei Webhosting-Verträgen, die wiederverkauft wurden, werden im Webmailer allerdings entsprechend die Mail-Adressen aller Kunden des Resellers angezeigt. Aus diesem Grund haben wir beispielsweise alte Schlund+Partner-Verträge – dort haben wir das Reselling explizit angeboten – von der Umstellung auf den neuen Webmailer ausgenommen.
Ein Bugfix für diesen Effekt liegt uns bereits vor und wird derzeit von unserer Qualitätssicherung geprüft. Als kurzfristige Lösung kann der Vertragsinhaber im Control Center den alten 1&1 Webmailer aktivieren.