Code per Mail
Cross-Site-Scripting-Lücken bei All-Inkl.com
Die Webmail-Oberflächen des deutschen Hosting-Anbieters All-Inkl.com verhinderten die Ausführung von eingeschleustem JavaScript nicht zuverlässig. Angreifer hätten darüber zum Beispiel ganze Postfächer unbemerkt kopieren können. Vergleichbare Lücken sind keine Seltenheit.
Der Web- und Mailhosting-Anbieter All-Inkl.com musste einige Sicherheitslücken in seinen Webmailern schließen. In der Desktop-Version des Webmailers war es möglich, JavaScript-Code über eine HTML-Mail einzuschleusen – ein Angreifer hätte darüber zum Beispiel im Hintergrund das Postfach ausspähen können, sobald ein Webmail-Nutzer einen manipulierten Link angeklickt hätte. Dass Kriminelle die Lücken nutzten, ist nicht bekannt.
Aufmerksam auf die Lücken wurde der Softwareentwickler Leo Dessani, selbst Kunde bei All-Inkl.com. Zunächst hatte er sich wegen einer anderen, kleineren Lücke an den Support des Hosters gewandt. Nachdem diese gestopft war, wies er den Support auf grundsätzliche Probleme mit dem eingebauten Token hin. Nachdem er keine Antwort auf Rückfragen mehr erhielt, schaute er sich den Code und die Sicherungsmaßnahmen in den Webmailern genauer an. Dann wandte er sich mit einer detaillierten Beschreibung weiterer Lücken an c’t. Mit einem Testaccount konnten wir die Lücken nachvollziehen und informierten den Anbieter.