Bitcoin Forum

Wer GMX, Yahoo, etc. benutzt gehört gehackt. So, ich hab ausgesprochen was viele hier denken.

As for the gmx exploit, it works for most e-mails.
We've probably done every single publicly posted gmx e-mail address, which is the reason why we are selling it for such a cheap price

Irgendwelche guten Vorschläge ?

Die gleiche Frage an Akka: Kannst du dir vorstellen dass ein Hacker der nur deine BTCTalk-Identität
kennt deine gmx-Adresse irgendwo finden konnte?

Acura, war denn deine gmx-Adresse bekannt? (Steht sie auf einer website, ist sie Acura360@gmx.de oder ähnliches?)
Es scheint dass keine deiner 4 Möglichkeiten nötig ist, sobald man eine gmx-Adresse kennt kann man sie (von einigen
Ausnahmen abgesehen) wohl problemlos hacken.

Edit2:
https://bitcointalk.org/index.php?topic=564067.0 (https://bitcointalk.org/index.php?topic=564067.0)
Bei mir ist vor kurzem der Protonmail-Invite gekommen. Werde das mal testen.

Naja.

Molecular war (unabsichtlich) mit offenem Wifi auf dem CCC. Könnte dazu beigetragen haben  :o

Sieht so aus, als ob GMX hier einige Zeit lang ein Lücke hatte. Angeblich ist die inzwischen gefixt, was aber niemand bewerten kann, solange GMX keine Details veröffentlicht.

Ich kann das zu 99% sicherheit sagen: die Lücke ist nicht gefixt, jedenfalls nicht bis vorgestern.

Ne, ist schon mitte Dezember zum ersten mal passiert. Hat höchstwahrscheinlich nix mit meinem Verkehr auf dem CCC zu tun (war ja immerhin TLS-verschlüsseltes IMAP)

https://i.imgur.com/Vl1DNkc.png (http://www.stepstone.de/stellenangebote--Head-of-Mail-Application-Security-m-w-WEB-DE-GMX-mail-com-Karlsruhe-11--2956697-inline.html)

Ich würde ja gerne mal mit gmx das Problem besprechen, aber wie soll ich bloss an der hotline vorbeikommen um jemanden dranzukriegen der die Sache wenigstens mal ernst nimmt und mir zuhört?

Das ist eigentlich eine Sicherheitslücke von einem Ausmaß größer als die Sache mit
den Fritzboxen vor ein paar Monaten. Eigentlich könnte das problemlos auf die
Spiegel-Online Homepage oder ähnliches, dann würde sich auch GMX dafür
interessieren. Ich glaube fast es ist einfacher einen Journalisten von der
Ernsthaftigkeit der Problematik zu überzeugen als einen GMX-Angestellten.

https://i.imgur.com/UF9R8Y9.gif

wenigstens eine gute Nachricht.

Naja, "better ideas" klingt für mich nicht wirklich nach guter Nachricht ::)

https://i.imgur.com/mKJt5sX.gif


Lach. Wird eigentlich nur durch den Head of state (http://en.wikipedia.org/wiki/Head_of_state) getoppt.

EDIT: maybe someone had to leave recently.

January 06, 2015, 09:02:46 PM - Acura360 - password reset via secret question

Wo hast'n die Info her???

David123 die Art des Passwordresets.

Aus dem security log https://bitcointalk.org/seclog.php (https://bitcointalk.org/seclog.php)

January 07, 2015, 01:29:18 AM - Acura360 - password reset via email
January 06, 2015, 09:02:46 PM - Acura360 - password reset via secret question
January 06, 2015, 07:57:26 PM - Acura360 - password reset via email

Habe meine Account nun wieder. Schön das theymos und alle Beteiligten so schnell reagiert haben, bevor der Account irgend welchen Schaden anrichten konnte.

Der Thread Sicheres Adressverzeichnis (https://bitcointalk.org/index.php?topic=504251.msg9710752) hats gebracht und eine Signatur mit der hinterlegten Adresse war für theymos genug mir meinen Account wieder zu geben.

2FA bringt wenig, solange man den Server nicht unter Kontrolle hat. Wer hindert den Angreifer daran, den Check zu umgehen oder seine eigenen Credentials zu setzen?

Es ist nicht unfair, wenn ich bevorzugt werde  :D

Schön mal wieder was von Dir hier zu hören. Die Umstände hätten andere sein dürfen.

Hab mich auch mal in dem Thread eingetragen. Du bist ja bei Muto mit eingetragen. Wie funktioniert diese Variante?

Ja, hatte mir etwas eine "BTC Überdosis" verpasst und musste mal etwas langsamer machen.

Hab mich auch mal in dem Thread eingetragen. Du bist ja bei Muto mit eingetragen. Wie funktioniert diese Variante?

ob das der gleiche exploit ist mit dem auch satoshis adresse gehackt wurde
ist allerdings pure Spekulation.

Ich verwalte meine Mails seit Jahren auf meinem eigenen Server. Allerdings mache ich das "nebenbei" auch beruflich und wenn man das nicht tut, dann kann man sich damit schön ins Knie schießen oder man muss bereits sein sehr viel Zeit zu investieren, um sich das notwendige Wissen anzueignen. Permanente Pflege des eigenen Mailsystems selbstverständlich inbegriffen. Das ganze Drumherum macht sehr viel Arbeit, obwohl Mail im Kern eigentlich ganz einfach ist. Die SMTP Basics versteht ein Kind.  

Guten Morgen,

ich bin mir nicht ganz sicher, ob ich die komplette Geschichte vollständig verstanden habe, aber der Vorsicht wegen habe ich mal ein Post verfasst, um unsere Kunden mit gmx Account zu warnen.

http://bitcoinblog.de/2015/01/09/achtung-gmx-mail-accounts-womoglich-nicht-sicher/

Falls ich etwas falsch verstanden habe, bitte informiert mich einfach, per PM oder diesen Thread.

Indem GnuPGP einen öffentlichen und einen privaten Schlüssel generiert und den öffentlichen Schlüssel in ein Verzeichnis einträgt, kann der Besitzer des privaten Schlüssels beweisen, dass er er ist, indem er eine Nachricht mit diesem signiert.

Guten Morgen,

ich bin mir nicht ganz sicher, ob ich die komplette Geschichte vollständig verstanden habe, aber der Vorsicht wegen habe ich mal ein Post verfasst, um unsere Kunden mit gmx Account zu warnen.

http://bitcoinblog.de/2015/01/09/achtung-gmx-mail-accounts-womoglich-nicht-sicher/

Falls ich etwas falsch verstanden habe, bitte informiert mich einfach, per PM oder diesen Thread.

@klaus: wenn du magst, schaue dir mal den Mailanbieter posteo.de an. Haben auch 2FA und meiner Meinung nach sind sie vertrauenswürdiger als Gmail.

http://www.zeit.de/digital/datenschutz/2014-05/posteo-transparenzbericht-polizei

@hacked: Drücke euch die Daumen, dass ihr die Accounts wieder bekommt. Diese Hackerseuche... :-\ >:(

Könnte es sein, dass auch web.de-Konten betroffen sind? Soweit ich weiß, ist das doch alles dieselbe Codebasis!

ich vermute ja. Grund: das exploit verkaufsangebot auf hackforums bezog sich auf "gmx and web.de"

Mail.com gehört doch wie GMX und web.de auch zu 1&1, dazu noch ne menge anderer Dienste.
Wie ist es bei denen?

gut das ich seit 1996 bei AOL bin  :P

jajajaja, bitte!

jajajaja, bitte!

Hat eigentlich schon mal jemand bei Posteo angefragt wegen BTC Zahlung?

Betreiben die IP spripping?

Also, ich muss jetzt schonmal recht blöd nachfragen, weil ich selber kein GMX habe:

gibt es bei GMX eine Art Passwort-Rücksetzen-Funktion mit Sicherheitsfrage oder so?
Also das typische "Mädchenname deiner Mutter" oder sowas?

Oder kann es sein, dass man sich den Zugang zu den GMX-Accounts in irgendeiner Weise mit Informationen verschaffen kann, die irgendwo hier im Forum auffindbar sind, ggf. auch über einen der Hacks der Vergangenheit? Schließlich scheinen bisher ja nicht reihenweise GMX-Accounts betroffen zu sein, aber eben sehr wohl eine Menge GMX-Accounts von bitcointalk-Nutzern.

It can reset pass to any email that is @gmx.net @gmx.de @gmx.ch @gmx.at, the email that you take must have a recovery option for it to work like a phone or email
give me an email and ill attempt to take it to prove it

gibt es bei GMX eine Art Passwort-Rücksetzen-Funktion mit Sicherheitsfrage oder so?
Also das typische "Mädchenname deiner Mutter" oder sowas?

bin auch betroffen.. gehackt am 31.12 nachmittags. Könnte am schlampigen Webinterface liegen.. sowohl Hacker als auch ich waren gleichzeitig eingeloggt und konnten beide lustig das Passwort hin- und herändern ohne dass die Session des anderen beendet würde.
Seine Handynummer:  +436********415
Seine IP: 73.18.148.9

hab aber auch einen Java-Trojaner in meinem Thunderbird-Programm gefunden, vielleicht lag es daran.. ( dass wir eine stille email bekommen die das PW weiter leitet )

Ist auch jemand betroffen, der keinen Email-Client verwendet, kein Android etc und Webmail nur über eine sichere Verbindung? ( SSL + definitiv virenfreier Browser ) ?

Sicherheitsmassnahmen:
- PC auf Viren scannen
- Browser und Email-Client aktuell halten, eventuell Plugins deaktivieren ( Java, Flash etc.. )
- beim Webinterface vorm einloggen SSL im Browser aktivieren
- im Webinterface nachsehen ob Sessions von anderen IPs offen sind ( kann man dort schliessen )
- im Webinterface Virenscanner und Spamfilter aktivieren
- im Webinterface öfters Passwort ändern + darunter "mobile Zugänge zurück setzen" anklicken
- alle drei Passwort-Reset-Sachen aktivieren ( Email, SMS, Telefonfrage )
- Emails runterladen und nicht im Postfach lassen ( so findet der Angreifer lohnenswerte Ziele nicht )
- Filterregel erstellen: neue Emails automatisch löschen + an sichere Email weiterleiten ( z.B. Gmail mit 2-Faktor-Autorisierung )

Ist auch jemand betroffen, der keinen Email-Client verwendet, kein Android etc und Webmail nur über eine sichere Verbindung? ( SSL + definitiv virenfreier Browser ) ?

Also die IP kommt von den ganzen Diensten wo er auf "Passwort vergessen" geklickt hat.. GMX selbst gibt ja gar nix raus! Die Telefonnummer hatte er dann selber gesetzt für die Passwort-Vergessen-Option! Daher auch die Sternchen ( habs verpeilt es nochmal zu speichern bevor ich wieder meine Nummer hergestellt hatte )

Ich glaube eine Login-Historie gibt es nicht! Es gibt nur:
Einstellungen ( unten links nach dem einloggen ) -> Aktive Sitzungen ( Mitte oben )

Einstellungen ( unten links nach dem einloggen ) -> Aktive Sitzungen ( Mitte oben )

Re: Databases (from Cryptocurrency Business Forum)

From:
"the messiah" <themessiah@gmx.us>
To:
"Support BitBiz.io" <support@bitbiz.io>
Date:
Dec 12, 2014 3:10:42 PM
We did not mean 100 btc(rather $100 USD in BTC), we doubt anyone would have such a large amount of money.
We got into satoshi's gmx e-mail, but it was deleted.
"By the way, I understand hacking and the fun from it, but erasing files and databases isn't exactly ethic hacking. Did you really feel a need to do that? :)" yes of course, be happy we didn't decide to change the donation addresses but rather defaced your site.
 
As for the gmx exploit, it works for most e-mails.
We've probably done every single publicly posted gmx e-mail address, which is the reason why we are selling it for such a cheap price :p.
 
We'll also provide a short list of domains the exploit works for(you can always fine more, but icbb).
 
If you don't have access to your e-mail anymore:
preacher.with.a.shotgun@gmx.com:***
previous bitbiz.io cpanel login info: bitbiz.io => bitbizio:i***
here are some e-mail accounts we've checked and found to be worthless(hence the reason why we are providing you them).
bstcoins@gmx.co.uk:*** - bad.
claytonk@gmx.com:*** - shit
azimpremji@gmx.com:*** - dead.
FanEagle:ohmynose@gmx.com:***
btc-otc@gmx.co.uk:*** ***
bitcoingrant@gmx.com:***
phoenixrisingradio@gmx.com:*** - Phoenix3333 - ***
bartek.cz@gmx.co.uk:***
onestopminingshop@gmx.com:***
cryptoking@gmx.co.uk:***
pcspec@gmx.co.uk - bad.
rclab@gmx.co.uk:***- china-yaxin.com is where he buys his drugs.
drbean34@gmx.co.uk:***
martinthomas@gmx.co.uk:*** - daed
bitcoiner1@mail.com:***
 
Satoshin@gmx.com correct? That e-mail is deleted, so we were not able to get into it in time.
 
To be honest, we cannot get into every single gmx e-mail, but for most, yes.
 
Sent: Friday, December 12, 2014 at 4:04 AM
From: "Support BitBiz.io" <support@bitbiz.io>
To: Centuries <keithritterabcd@gmail.com>, themessiah@gmx.us
Subject: Re: Databases (from Cryptocurrency Business Forum)
Hey,
Well the thing is we have the databases, very recent backup actually.
About the second offer, as you can see we are poor community just yet, so we have nowhere near 100btc. Neither we are interested in such an offer.
However we can report the exploit for you and split the reward.

About the hashes, yes every hash can be cracked with the right dictionaries, rules and GPU power, but given the reward will be access to just a forum username, I doubt you will go through the hassle.
We are aware of the shared host problems, looking to upgrade it soon :)

By the way, I understand hacking and the fun from it, but erasing files and databases isn't exactly ethic hacking. Did you really feel a need to do that? :)

Any idea if the same gmx exploit was used to hack Satoshi's gmx email account?
Can you get into ANY gmx acc?
 
On 12/12/2014 12:57 AM, Centuries wrote:
 
Cryptocurrency Business Forum
The following message has been sent from Centuries <keithritterabcd@gmail.com> via the contact form at Cryptocurrency Business Forum.

Databases
Centuries
 
i'll sell you back your databases for $50 btc
i'll sell you the exploit for gmx for $100 btc, so you can report it and get any money they send you(I can't give my details to gmx, so I can't report the exploit).\
my btc address is: 135e7GgL6RzfGCwWuHmqSrxLFrTuVJSjG5
you can e-mail me at: themessiah@gmx.us
thanks.
btw: the hases can be cracked.
btw2: to the guy who said we are "dosing" you, we aren't dosing/ddosing you. It's your shitty hosting provider who doesn't have 2-auth.
http://bitbiz.io/

wie kann ich denn 'SSL im browser aktivieren'?

Ich geh auf httpS://gmx.net und werde auf http redirected :(

<form class="form-l form-login" name="loginForm" method="post" action="https://service.gmx.net/de/cgi/login?hal=true" accept-charset="UTF-8" novalidate="novalidate" id="formLoginFreemail" data-formcheck-nocheck="nocheck">

@molecular: hast du den Spiegel Redakteur von damals bereits kontaktiert?

ja es ist wichtig, genau diese Adresse zu nehmen:
https://www.gmx.net ( mit s, www und net )

aber ich kann ein bisschen Entwarnung geben: Der Quellcode der unverschlüsselten Seite sieht so aus:
der Formularinhalt wird also an https gesendet!

Ist im Urlaub bis 12.1.
Der andere (kenn noch einen aus Prag) hat nicht geantwortet.

Wenn noch nichtmal Heise Security und Konsorten davon melden, wird der Spiegel wohl kaum berichten.

Also die IP kommt von den ganzen Diensten wo er auf "Passwort vergessen" geklickt hat.. GMX selbst gibt ja gar nix raus! Die Telefonnummer hatte er dann selber gesetzt für die Passwort-Vergessen-Option! Daher auch die Sternchen ( habs verpeilt die komplette Nummer nochmal zu speichern bevor ich wieder meine Nummer hergestellt hatte )

Mal in's Blaue geraten:

kann es sein, dass der Angreifer auf die Passwort-Vergessen-Option geht, und dort dann irgendwie auswählen kann, dass er auch die Email vergessen hat, und dann irgendwo einen link/POST verändern kann, der ihm erlaubt, die Telefonnummer gleich neu zu setzen?

There's definitely a known attack vector that can be achieved through
what's called "header tampering"... For $5 you can get almost anyone
black hat to help you do it on a variety of forums, eg.
http://www.hackforums.net/showthread.php?tid=4502984

For some reason, GMX don't seem to have patched this exploit so it's
still out there in the wild. For that reason I don't use GMX and advise
nobody else to.

Habt ihr die Lücke über die Adresse "abuse@gmx.net" gemeldet?

abuse@ ist üblicherweise für's Melden von Spam da, also "nicht zuständig".

Noch mal ein kleiner Gedankengang, könnte es nicht einfach so sein, dass das SMS-Gateway kompromittiert ist, das GMX verwendet?
Dann ließen sich ggf. Passwörter mittels SMS rücksetzen, ohne dass GMX selbst direkt ein Sicherheitsproblem haben muss.

@akka/yxt
Das ist ja jetzt etwas inkonsistent.
Einerseits wurde das Konto übernommen ohne das eine Nummer hinterlegt war, andererseits hat man es sofort gekapert als eine drin war.
Oder war noch eine andere Option aktiv?
Am SMS-Gateway scheints ja nicht zu liegen...
Da bleibt ja nur noch, das jemand den Link (und evtl. Tokens o.ä.) in der Passwort-Zurücksetzen-Mail erraten kann und so vortäuscht, der Empfänger eben dieser Mail zu sein.

It can reset pass to any email that is @gmx.net @gmx.de @gmx.ch @gmx.at, the email that you take must have a recovery option for it to work like a phone or email
give me an email and ill attempt to take it to prove it

@akka/yxt
Das ist ja jetzt etwas inkonsistent.
Einerseits wurde das Konto übernommen ohne das eine Nummer hinterlegt war, andererseits hat man es sofort gekapert als eine drin war.
Oder war noch eine andere Option aktiv?
Am SMS-Gateway scheints ja nicht zu liegen...
Da bleibt ja nur noch, das jemand den Link (und evtl. Tokens o.ä.) in der Passwort-Zurücksetzen-Mail erraten kann und so vortäuscht, der Empfänger eben dieser Mail zu sein.

Ja mein konto wurde mehrmals übernommen. meist um 21Uhr oder in der Nacht gegen 3Uhr ohne das ich eine Email zwecks passwordreset etc bekommen habe.

Hat hier nicht eben jemand gesagt, das man eine Frage Pflichthinterlegen muss?

Tja, also ich habe mir heute einen Account angelegt und ich musste tatsächlich eine Frage hinterlegen.

Die Frage dient nur zur Authentifizierung an der Service Hotline bei Sicherheitsproblemen, so kenne ich es jedenfalls noch.

Tja, also ich habe mir heute einen Account angelegt und ich musste tatsächlich eine Frage hinterlegen.

Mist, ich habe drei 20-stellige Passwörter aus pwgen als Antwort angegeben, wenn ich die an der Hotline buchstabieren muss, bin ich am A**** ;D

Mal eine ganz doll doofe Frage, liebe Mitforisten: Habt ihr euch beim Verlassen der GMX-Seite ausgeloggt? Na, Hand aufs Herz!

Mal eine ganz doll doofe Frage, liebe Mitforisten: Habt ihr euch beim Verlassen der GMX-Seite ausgeloggt? Na, Hand aufs Herz!

Ich sehe gerade: Wenn ich auf den Link "Passwort vergessen?" klicke, erscheint die Seite:


Da scheint etwas in Arbeit zu sein, man kann keine E-Mail-Adressen mehr eingeben. Abweichende Meinungen hier im Forum?

Meint ihr, mein GMX Account detlefsichwell@gmx.de kann tatsächlich gehackt werden? Das wäre aber nicht schön...

Gibts die noch irgendwo zum Kauf? Ich würde 20 Euro dazu geben.. wir kaufen die gemeinsam und leiten sie an heise etc weiter? die üben dann druck auf gmx aus..

Ich habe bisher nur einen recht einfachen Mädchennamen der Mutter. Allerdings scheint das Recovery nicht zu funktionieren, ich bekomme nur den Hinweis, dass ich GMX anrufen soll. So einfach scheint das Hacken nicht zu sein...

Aber, sowas sollte man doch per PN machen, nachher sieht das noch einer...

Erstens um selber zu schauen ob/wie das klauen funktioniert und zweitens um zu schauen, wie schnell der Account geklaut ist (bisher leider gar nicht).

PS: Hat einer der Betroffenen mal das BSI informiert?

Das kommt genau dann wenn man keine Telefonnummer oder alternative email hinterlegt oder auf der Seite davor (kommt nur wenn man eine der beiden Datums hinterlegt hat) nichts eingibt.

PS: Hat einer der Betroffenen mal das BSI informiert?

ich: nehmen wir mal an ich wäre der Überzeugung bei euch gibt's ein übles Sicherheitsloch im Passwort-Reset, an wen könnte ich mich da wenden?
gmx-hotline: Da gibt's garkeine Möglichkeiten.
ich: Aber ihr müsst doch offen sein für Informationen wenn ihr ein Sicherheitsproblem habt.
gmx-hotline: Wir ham keine Sicherheitsprobleme

ich: nehmen wir mal an ich wäre der Überzeugung bei euch gibt's ein übles Sicherheitsloch im Passwort-Reset, an wen könnte ich mich da wenden?
gmx-hotline: Da gibt's garkeine Möglichkeiten.
ich: Aber ihr müsst doch offen sein für Informationen wenn ihr ein Sicherheitsproblem habt.
gmx-hotline: Wir ham keine Sicherheitsprobleme

Aktuelle Informationen

Lieber GMX Nutzer, aufgrund aktueller Wartungsarbeiten ist der Aufruf des GMX Passwort vergessen Prozesses vorübergehend nicht möglich.
Unsere Techniker werden die Wartungsarbeiten schnellstmöglich durchführen. Wir entschuldigen uns für die Unannehmlichkeiten und bitten um Ihr Verständnis und Ihre Geduld.

Jedoch musste ich feststellen, daß mein account wieder übernommen wurde. Irgendwann zwischen gestern morgen und jetzt.

das verrückte nun: ich kann den Passwort-Link anklicken und das Passwort wieder für mich ändern!
klicke ich ihn danach erneut an, steht dort jedoch dass der Token ungültig sei!
dh sie haben den Token gar nicht entwendet!
aber trotzdem das pw geändert ^^

Vermutete Schwachstelle in Passwort-Resetfunktion für GMX
Security <security@1und1.de>
17:14 (vor 7 Minuten)

an mich
Sehr geehrter Herr ***

herzlichen Dank für Ihre E-Mails und die Hinweise. Wir nehmen
diese sehr ernst und versuchen derzeit, den von Ihnen beschriebenen
Vorgang zu reproduzieren und werden falls vorhanden eine
entsprechende Schwachstelle beseitigen.

Darüber hinaus haben wir uns entschlossen bis zur Klärung des
Sachverhalts die PW Reset Funktion zu deaktivieren.

Sobald wir weitere Informationen haben, werden wir uns wieder mit
Ihnen in  Verbindung setzen.

Falls Sie uns Schwachstellen melden oder Rückfragen zu diesem Sachverhalt haben
möchten können Sie einfach auf diese E-Mail antworten. Anbei finden Sie unseren
PGP Key falls Sie die Mail verschlüsselt senden möchten.

Nochmals herzlichen Dank und freundlichen Grüße


Niko Thome,
- 1&1 Internet AG, IT Security

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1

mQINBFKwStwBEADPH734drQ/kH6UiHid1WxWLztWm2gBeYGLfa1APBQVvlBC4Sky
YnOBe/Dj+bwK+GanM6L8yAU5QNhOuE/OndfiyqlqxuRR81ZYRNAM39S8dZif8yde
2Vcz7BjfLUaP7ln9bei0PNOwtUyEswA8IDtA2M6Xt1HUeL4NSVtce6DxyzKjGbMD
6XxqdgxNwnTSZ1qVf8vtz2BwO1tssOQR1j7Za5Z8ZKqy3fD1JaNsg0UtJlpyxBuR
VjorRWivd7sIgCK1+y+MnhjtjUrrLSL9NzLIvGkDE/RFuutVIfrSLvBNwYH8dZ6c
YcwMmIXPizbcAmthvbAsQXVNL1oqA8nMlLopfOifpSabOLMUqbBRzLYiCg6Eqwa3
DjBSTMaviiHcU3QVKYlE/jSBweyAmOcYPVHrt5pzwG04R8lY9EjN2N3WXvdnfiz0
rLWT+nBmIfqP2HIqcWpR+qv4XYfKLqoWpG0wXJCRQtVQXIEHlNgVidBz83KHU9+u
J5QFVfK5ytQcBYDq4aTnZOZZ5R9IAqXF7l2fp5FNT6KzuWgpVzzxWwEGoHUfBado
IRvGEt0ia+yLznnjLrrQnmQc1kRzyDK445Lz6xJ6P5WH9PBCiE8Z6SUUV3gFXQVz
fyjsYUh0wVm3cuLe2U9oGuhCvYIw4636kqr6kqNc3gUWGsMR7gvZmz/u5wARAQAB
tC9JVCBTZWN1cml0eSAxJjEgSW50ZXJuZXQgQUcgPHNlY3VyaXR5QDF1bmQxLmRl
PokCQQQTAQIAKwIbAwUJA8JnAAYLCQgHAwIGFQgCCQoLBBYCAwECHgECF4AFAlKw
TIYCGQEACgkQ9Ke6Vh0oiHYYQg//Rl3sOe8IpgYcrd3gO+Odo40zr7co6yusi/Av
KQglVXFvN40ZLprKsnFRYzJvp5SFrJQfKNQAFEF/Zqk5aP+mCdQiD5tsIcC1rui2
ji8Dnd4ZXUAkd8Xtdj+pPNoS/6FFoAx4GlVmf188fxhpmuWlJkEkjTB+NYLPEL8y
OE9AGJBCfLItuWmLry2aZ4m0plpH7gepBEfLuzkDfCe6oDLtlM18ITnUwq73EONi
vSmHlecpBf2a/uteyxP0GHjRKSfods4aC58AFX7WsanO7wYOVbLQ5UH8bv4Y7ZW3
XEQg8TF9m2YoXYiFg0O6N0OGHKhCVnXPNmdQLMjej6/CNyfpXq4dLRGZ3oYJotez
XBi4P+9yxCS8BwDRzNFcxDkOjNjcLXBCs6Rl43A4MLLP3inzzLBJo5Fbfn5mlhSh
LW+vKl3XCAKb7RDydwctjTBTLpcj5/ASbgsbfnwUvmBz6BqZMjalp9PP0qi6ts04
DL+TD8+FppNiNKS5b8EsTMkrEajG+/lUFGyFiTOv29bij3m/USVJIxLD7hVr1w69
220UmUuc+VxziVfOXOL4lFws55BsX8YyszBdYzZYR5Mr0pU/j36MGiPXXhQoAd7I
LUy1QU7nYm0za7Qvvozf81L5dJBesQLpRUsk/PQAqhWU+n34VabwNMxorMVD4eDq
InC0vXiJAiIEEwECAAwFAlKwSyAFgwPCZwAACgkQcvnsOw1B3fpZag/+KblXzrGT
lsULNtGjSihfd2XU7ToO6UBSVkWho/XGaeyLgG2PwesdoGcGyvl04qyIoNixKhaC
c+hVGT5c7TTP6mYaOAK5Yq61QIExI06uHlQ/QdVh6y9QZSyJXxOyxyUbYwtmt589
bY4OtSJkCiX9GyxTALKslth5grH3oCA3kyK7timDqx1+hJAycY9VCjHx2ahXE88w
Ki5/xsCWuRo/Nwv8En3IJJEba1Uut4OslvwenxQqYrl48mt1WPlepD5HkKiB0J72
eweefEDDzFhLRj/q7y8Gmhf5KCwZK3krBDCkLcLeFrJn7mCtBVQL9so8XWRk6O/n
u+f/UKhtInHDnut7+MwJjQIpZyWO6QTF2cz3NIrZ0TbqHVxun2K8EvuAjan5Q4SP
/czVmt/dWfR9/qskMW5rODyBbrDtrCNnXCfkeW+Qf4hmL4c/pbuKqe38zast50Mo
LuH8V9vGqzAKu0G7KRoGPxJP7vc3DbPXxqpCR0Xjw2IISygy91WUghrMBwrE+Zfq
hr7MwmvVfegAVsmxm0+OSo7pmwW+T/5KX+FLUUbe+swYFwttyv+Vrkk5FA4ED5w2
fBSousEfGHxntzgOp2t2EJjaFsV6Qpay09ngGKyu/8shM5PEjQDVHfIoqnCSSZ1X
rql0VdLV8sfhHLsDX44f4srI0AT0103/XJWJAj4EEwECACgFAlKwStwCGwMFCQPC
ZwAGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEPSnulYdKIh2OJMQAKDXSYty
NfHosyU4DpeZmR/hJ6778qg6hh/dwRpjfHMxCQg+sNiUtXXbayHGHrHNT7Oe1PkN
p/a9K+nWdMIsLWf/9sozRTA7X29u9do3sgKlN0TlRk3iZzetbxWLUTLairiI/EaN
em2bliGOYc50It4GLXfi46ylZyV9SAXxaVAzHBY2+YCGDzf3rxezxVsB1mRYhZkR
sl+MiSU8RtUYrmGXUwTVz8xXTGbQC6K5jpbYUtzwosgkqn2rxQ7MEZssyGrUpUF9
OHqv5ZCIyhVCE+vH4ZPFpOXLMavAj+IkTiHh9ho16iieOeiG6/l2JrcXqIqGiUo9
dDHNxmtVZAjVCyzU9WZROEJILEz+nsCGQoBmmK7ChX5R7qBX31zoI28JqUMcKUzv
t3tXSIuWQnmUa0jfFGFf+8f3819h+TcEM4B1vlBUZplbKE7ez9xEYHdbXUXkBA1x
o3pDSg8CRyqOoQ1yufdCh9kBGLz3zdcCDkKWLcbVn9XkUhYi+vRS4yZoCgLfBALp
oV5W4veVj91+JcHnoQzV0te7Lv/U1UnwyQtLGfGX4wXTVWm0y50vsL2Y4BT8J6S0
+JXPApWnFeMflfpYfNaAkThyuhEiO4vwSSGOmflyI/zWOh72wdPwix5OBIdUreTb
HZ0TqmD4sFpfFPEG7bVURGlrNwvkG1x4+DmptCpTZWN1cml0eSBOb3RpY2UgPHNl
Y3VyaXR5LW5vdGljZUAxdW5kMS5kZT6JAj4EEwECACgFAlKwTHoCGwMFCQPCZwAG
CwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEPSnulYdKIh20bMQAK5ZkKEKnyha
qFXQtsygjNzYfk/bab77eR/I4uza13vhwdbGnympZs3obtX24YKs71/FxaZxUPGl
eFTYkK/Yc4BptZqDEiNGrmr32SM1cLQhXajWFz3l1wIfSr5r0IOfG9D64bxpPQ3D
mUABegCFax8++fEPkhy4WqVG+3cjRnKlrQ/iPr/ChVUv+oDCQudunlYye2/fODNJ
eRL5ZrE/HtY90bEKFnnmUwb1DcnFT+/d+UwbvogvP1ex2Mqa7wZ0U+jTygFEncOE
glugQGQg+5eIQlwPdg0he/6Uda3W92HpzCg15V5WvkpDHi+Ze3cerTx0B0HvH8Zf
r86nnCq/FgUtLEp+IPV7LYj+oD7b/Y3BCC0kSlzg7Zdn4m5S/f8IhjWLIQv2Si2L
eaAz8jhU/04Z2wyuNJw8PhR9Cv6uOoiAqaQIrMmUjpr3YsD7mgB8Dc3s8xOMoPtV
kABBJvlNZ4gLXHqhUopUp+XYm5li4N0zAe/hvdCB7IFksXWhKGzAKBr2z/KxidaA
lLBD4MuaRQEfVRw1J6RbWPQU7tExVaYdfkHbtpMNWNTQ0ZrCrPZHUNNJ2yiwtA1S
ubnmolyVqDVzbaDKSs+YgY0ty1Vyt9sDXNcaugQTbEi06OtA0oAfbzyBK+HAbvhJ
oI/HdOmpRT+jCgN++A0Jor7L43GLnRVSiQIiBBMBAgAMBQJSsEy4BYMDwmcAAAoJ
EHL57DsNQd3697UP/2E7SBF86hn6f0naR4P1FCf7J+mkHKGZR+byq+K6gonJ7+k/
A8/aN50Re1o80HA2H+ExgNzHSdczVnajR8C6TruV2y21T8leiDt6eoXc0jGpnfxP
SxQYFdf2vCqz6R7r/nQKnT/Xzvu+UJhEro5agJDQ/Inw9sPb0rxezQ0spH7PsIsL
nDuwLrPUxBFF9KSAEW5KNBmDhMrTA6CdjcZK0ZkFPFq17u+7VAUw1Tu+0tejCHcG
QLXNky8KkiIJAyQY465fWQFvTfc4gMHVMThktzUnYBLaoGa7P1fC/yJJMgHhEB6d
CBf0Ha7vlPqxizB+I1qXzM0erLDx8MHXHEXZ1r4BMw+d4AqndsNYA3klwA/Uk/tW
dO69M6piszZDQ7VjRbW1O9KlpvmwNH4k01cGo2Ve9XdwZEHp7vgc9fTv23nM5siZ
j0M7sArSBhzYXdNIkEHWKUd6lg8TlOT8GrfSJJNLEFtHC/Nhb9G13j05huX6VyUh
CwT+B++XQlW00wVnACRaBuOVP0gmhGVFMPmLqpSYuMShsse7woDwF1IO0QFPaD18
PW7zobMLIjj8RaOq8J+VompzwS0ZHZIIgL2PbEC3QkvsOHXZ3wbVTuDNulbfwAes
us5iw1VdUs21k/rL/LmoNAXn7oW33ZMoGK9jxENlznpcbxmU7L8wxerGpEsKtCRJ
VCBTZWN1cml0eSBXRUIuREUgPHNlY3VyaXR5QHdlYi5kZT6JAj4EEwECACgFAlKw
TF4CGwMFCQPCZwAGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEPSnulYdKIh2
ge0QAKJ50xbaRUuxK+6yH5yn1A8k3BjvhZtOdRA0WqWkCgDyJ5FRS7MJIZt2GjdG
gopbLSA/mYu22p+UAqbwTNtQJBCSE/EbiyyQLTD1psGPE3LTi1gxibzLIOQaTuaW
SVuvs6f4V6U16ZLtuABibBos4mPuxxbiPWKHW8wL1mWTKcqkB6jh4wt3dcmeIRtF
XntKV0m6qTAIi+dn6me8BU438+hNCMsm2sNJddm/PgQQ1OYlBZf/4fbNDAXClZ9p
ZP0TOANTYz/MVlRn8Y4xzSmT7Csq74pXR9kfF87Uo1KPSXuUe3HdlWBNuotUoUWQ
UsdPPr8n/ZJAtqXnRl6nDLKW4lYwQ0fjcP4DJi9Q5n8kTN2iNFk1J31nEK4pUdhX
AictLVHG/htT/XsVBB/+6WGqxY146c9cPrLdQwQNbazWbFKYKuqWkslZSqrtEa5o
CcelIFxMjmO3SUO38y7yuVacHyJmAI+d514bl7oVsLqOWoG/lMgGi5rggk20NFDx
kZZcReRNharCLyylfZosRTINes4hYcM7iwYxUM4TwSrFX9UaBHlL49zaM/oCqbnQ
OkWdxRnO4JG4qN3x6nIqAZT7T12x4wU0m4QYVMW8LrxEjRnfWxKKv0oIDOraE8mq
nEM6zJNlgKEnoAC4lmTPnYLNE3wmYHHXzLxufEyPELBJ/V4viQIiBBMBAgAMBQJS
sEymBYMDwmcAAAoJEHL57DsNQd36ZscQAIRGJzCQGK/Ln9cMn7er7fauNwvuj8d9
KV3TMzfH/u//IzSEw9nFmcKYjhd67vcINJiaLiK8o+F+jwQTf7RaotcNrBswMycC
y3if04tGM46eKE/FEdEUUmAQCysMI+BOjmosAMfJPuCvJ5Z3JjP3SHbrcVMrZZEG
za2giEiyU/VnZtgipeLU1ZV4gBLOr3XIFW/mpTTaqQRFsT2GFI/7pjE72qSYpGFI
xssKrsuDRwkdgfBH1WGOURETmb/6WIydF4pS85nKMuNk0Y4p6FAsPX0lc8fvX40X
Zo4g6h7bQBQ7cAGoCWgQoc30N23/5aihoXXl9/0+6oc68g68z3Ye2THajQ1Mdw94
bj90/sFqsgkHE/PEfcc48W57EKvtJx6jsdnenerjytXaiSUQ6WPTxqkq0YFID402
HhXU2UxsObDIep/Y9yWGKoUl1NnqYM2LHE2WEeVc8980RPPJSvZxHD9mntk1nnQx
DHADnB8ulnHOeg7hJRe9MO9JaEit+jaFDpdIv0R6OhQ/6dTtqBqTo5kqg1gVxJAw
32PugDH+a6IgRUiv0zqnX7Quf+ydsmYjPK7X1G1ySbohtdoG/mk5Q04jfmrt2wTD
09rvTTcmFVx6IVW4guNiHtLooxW+S1HLfC6cniMI7O91MEeKvUVJuvUIEDlrBJX7
xpDR8fpYKkahtCJJVCBTZWN1cml0eSBHTVggPHNlY3VyaXR5QGdteC5uZXQ+iQI+
BBMBAgAoBQJSsEwnAhsDBQkDwmcABgsJCAcDAgYVCAIJCgsEFgIDAQIeAQIXgAAK
CRD0p7pWHSiIdttdEAC63cfPjg+QZYZzwfaRRc6DEypPSXyfibFXfv5Yq/bc9Cak
EyJuU601nluVNeNrKgnoIdezkANOeJlJT6xXEBoo85V8RTODOZf3F2wWvK11pKWg
5DETfpKK0hFTmem6XM/B0USFhPUbmuuZ6Dwc5NkE0fDpBwlx69mq7BdP9egvklMl
fUmLugJlJbW+MUjJzuYcbUfAbIuhncVjAkjVx9BYQS0td6asUm+YojTFm5uBgFme
sLrgJnBDDwrqa8wUBAvs1TPrqMjJ0+lpBb1zt0YVPC7wxCcWID86LSm6cTqly3dx
XLxHBbxil307aCQJw78mpVksRbT5fz+KN5Ssja/mn9AKYMUl4joRVuNw1aeZRRpb
uATGKNwTPkTYMZobZq62TEyoWhCXB252+N4vqohmLFjJmE8b9YiSwWXu15hu4Co5
ws+O4184cUddfjyAKzMzxzvaDiTNPWft84CUpY2+EgIDkwE4ieo5urQfLYgpWGTS
O383AfORpINrj9BcLzQeELAzC0LVaVGHk6oevTDw80zWySBTA7nivGsoL7BqN+Ae
sTwQHSv8bcq+TEgshS6B2bleuiZw3VsqBQhth7qbn43swthCDYhGgDDLb/wOpLFg
Q0YwUpS3wMKKcxXlnKGHmJ75X/es5AuFrE2np3axaxJAv2II72Id6xe3GmU4MIkC
IgQTAQIADAUCUrBMmgWDA8JnAAAKCRBy+ew7DUHd+jGwEACXOdgercW0YcetSUEl
YPOv0qcFBuaCHPcw5gdmn4CPP0PGrtwsxRUpqllnjb0hzSMv++VwjvufYvXZRR4o
/q4KgcFZ69ypwcsy+tbsuMEzrfGbv5+kVrA7LvPbC2egXfOXfaOXvpos3WMWN60+
pSVnlbk2t5uJsuJLLXwhLmAxSUTqwXKw4neNtd28tnHZaAcvH2K2FzGcmPEahxc6
gzcg7wJDbwzKyol8Shad8/ks1DxBTwpiPRmpdm3Nd++6lS08CPQ7VH980GcvNCWs
m9u0uSxCruGXc3YAA99x5PbgsJg1yO1P+U82rxNel4tLta4qMbhpQpWgKUPAdvqj
eqU50/XKJ8wL+d5coW7NRS+s5tW9tIxh5FObUgOjuWfdEg3YBNjZ797XhHY8idlz
lpa1NLP4BL9Zsn5dHNm91dKfYYm1CGs5Z7IZjyjlqWsN7faxiuLMTPoivrywdVLm
nM6i00ExZvTfMLbDMIlTUlBwLlIJH6BNmfJrGJWMPwPZNL4LWO+HLN6BRNeKmkdE
fKI3d46hzQ6ySexsYIWYxNjtOj/zR1dUGixyOvkPl5h4oPGvykAZCAVdFJjhxHQl
Y0gyAdf2GptN+kKrL0/ub3dfnQ6r1QqkkCJfXnvFLSnpCsi18vCVldRpDFcFMXJl
4g9AjsMlBXs4U9XWcXp05VSIT7RAc2VjdXJpdHlAMWFuZDEuY29tIChpbnRlcm5h
dGlvbmFsIHNlY3VyaXR5KSA8c2VjdXJpdHlAMWFuZDEuY29tPokCOgQTAQgAJAUC
VDJwFgIbAwUJA8JnAAULCQgHAwUVCgkICwIWAgIeAQIXgAAKCRD0p7pWHSiIdsgU
D/4m5wzPzpykrZdb4hJ9aDxnbLYaK1dGz/axZh+H2Jnm0XRdMRdCYB5fIxavlCeR
9XO+RjoHNP8fFwhWn3N3F0hcbI/YaIjihZRCiE3rLaJQhXBEzIN84gLf8IIN/v/v
/I4tVws25hVTt+OB13lj5ewAqJjKTbsRyeRPoBUAaRrkV3HPhJC5EGJfZpHzTbks
ZVow68220DoDG/n2OFLAkPoJVe8slqy9qFTKMpmh4tsHJ19YzWqhK6Ipn6DsgOyd
PQX43f6B6Sbp0u2kOGWlWQvUH9DdaifU0br7VhGfrQZr+P4AS4sulCYHlX3hImhk
vjC1BSoZrV8OOULbxDE3rPYyM1BR+mGQ6IM3ldAn8fN02d9/F5bblsI3HW6ylfi8
XEbb6770Ty8Mh+5QeLOPtTlR/slgoBqRYp/4luTo+crHLzlhAh1yrCqQ+8MIIVlK
2FEyqNpGG0RW1Lt9+YrV9IJLZUyt65fiDQenGYH8tT+0Jpxa8FY7gGk3dKPQ5OV2
+Yc//Vgc0J4S0rgA6Wfk/neZce77nUQm2HPar5lKLCSQGSBur7MlroZW7pxPaM/+
4ru1OjVHAJwJwMWORXW12wT7jZnytd7ysEbqr3NNSa2Iud1Ad+Uw+RrhuNVjF9hz
rnKZCwrLarFuZXoUn7o5L7rWj31+5ipYxgQYojWZYpWUZLkCDQRSsErcARAAxcye
inQseooVjdjO8u5fi2txo3LffMxk6fi+joCog737rRvGyB0pkY5aF2he2cFfLG8J
j2nL20MnK3WCK1y6vV+ehawP+oROa/wl1Sv2wvShpE2/gQS36AUrRGvglvUBm20z
onkchh7q8xbaFNXYrtPsgmqK/SxaEsmSRGU3rghkvnFMnvjb7XaXxWwpbbnGH/lr
ceT5f8PvubW91siRcjw56Lu8u4YTZhVqHDnrD7atF2ddICIFIE+4/KcVxPODRVco
lSirJktNycWVOjmn2QmPjBkfCewzT55S6URnDXqLvK3p5pBt7J3bOQNe6v6IfSSW
bxli81I54lI8eB2GuU4KVZbk8u6GP2ixP5SKMCh5TKzdFfQC7QT0PnnQoR5f+L8H
ICptMqLMPnzXLgJGTC7+v+N+7yTI2qI8Kz8BKW0PtgiZXx1g5ziFrf2bxFOcCiek
FSaCG5k0q41iX4REpuDP8HvCefkTJDi8G+1GueObzMbVzszAF6wNNKmTRp5bU4BR
ZX1L2wjeb30BIcs0acX8DZS6BgdvVj4hGqTW6HG+SeBYZbzo2z0CMq1QNTYLDWCS
cZnFddhY933fUFxKQaQ95Kn7nOfTGoBTWZ1wK1a+ef2OG4+hG74BmCj4/KFfJ2oz
CnrOsWT9YODVdywNYh/QJTv15tn8BXaBP0E/N68AEQEAAYkCJQQYAQIADwUCUrBK
3AIbDAUJA8JnAAAKCRD0p7pWHSiIdt+gD/48oIxGVvKR8nGdfor0+nzpWI83EGPu
c7wmb/3VHLVZM8QUn+NHEAVncifxtZv5qddwi3pLXK/O8sJAxXHJTjhOe+idx9VQ
H6e8ve3dT6yxjebx6WePJsZZ8dzp4xmfPQ/PB19moFFaRldmozbuV/Cw6RdBTdjp
2rli803V3rANi0wdhlWU+oqnkByMzYl9tMd/8peE2Qgo+ROG3hGLWXgwybaBV8dM
GfEkD7BVRY7PxlSQUfRf4+TzuNkc7XnKwPMkNlSeJdk1MgjzwfoJZYYnGqvZrQvH
HS1yEIQz3RY1X5InK6Bbh00jSv22SJg9ELV15i49VXqsCPUCS84qRi4j7FO2Lzvf
q5H65wPfr7oC+USTs58s5Dc1BEHLyqySpOEZ2DhzkGBmhbv7Z1f5HdXwMmu2WGk8
wXY2AQVqedgKcYdpDIXYIofrmLzxQXt1xk3wKVdcGtR/oNxSAUwxa4jLuTZWrinj
AH5zXOQjKug+J2d9dZJtng7Bb4WDOuyatbINAWWslWNtegyzNOJzHQwGBhmt7bua
4tnBKfO8AZdvZYFnqtaPMRMFCLR20kERnCWlrpL0k4ygzTM5AVp7YkwYvaf2QAIa
Mek7F6Ok+OFtEG/9WIpqpNt72uqZswMefZW2sQC09RzSsmB+k2b8OWE8fu/FxzbE
yEHR1ZQoQ3AF2A==
=pPn1
-----END PGP PUBLIC KEY BLOCK-----

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=ze/O
-----END PGP SIGNATURE-----

Tadaaa! Meine Tagelangen Bemühungen an der Hotline wurden endlich bemüht, und man hat tatsächlich mit den Sicherheitsleuten gesprochen... Diese haben auch prompt reagiert!
Also wer seine Vorfälle auch melden will: security@1und1.de scheint die richtige Adresse zu sein!

*schnipp*

Es wäre cool wenn man den leuten einen Account zur Verfügung stellen kann, der
dauernd wieder gehackt wird. Dann können sie es selbst überprüfen.

Mir wurde nun via E-Mail von security@1und1.de gesagt, dass nur wenige Personen potentiell betroffen waren und die Lücke wohl nun geschlossen wurde.

Durch eine schwerwiegende Panne stand ein Reseller-Kundenportal von 1&1 sperrangelweit offen. Mit einem beliebigen Passwort bekam man administrativen Zugriff auf Hosting-Pakete und Domains – offenbar sogar auf 1und1.de, gmx.de und web.de.

Sesam öffne Dich: Die Adminkonsole konnte mit jedem Passwort entsperrt werden, das mindestens 1 Zeichen lang ist. Vergrößern In dem zu 1&1 gehörigen Webhosting-Kundenportal configtools.de klaffte ein schwerwiegendes Sicherheitsloch: Der Dienst hat in etlichen Fällen jedes beliebige Passwort akzeptiert. Da als Login-Name lediglich eine mit dem Kundenkonto verknüpfte Domain eingegeben werden muss, hätte man sich leicht administrativen Zugriff auf unzählige Hosting-Pakete und Domains verschaffen können. Entdeckt hat das Problem die Webdesign-Agentur Bochmann im Rahmen eines Sicherheits-Audits. Das Unternehmen setzt sich daraufhin mit 1&1 und heise Security in Verbindung. Wir konnten das Problem verifizieren.

configtools.de ähnelt stark dem Kundencenter, das über 1und1.de erreichbar ist. Es bietet umfassende Konfigurations- und Zugriffsmöglichkeiten.  Vergrößern Betroffen waren jene Kunden, die ihren Vertrag vor dem Jahr 2007 über Reseller der Schlund+Partner AG abgeschlossen haben. Schlund wurde 2000 von 1&1 zu 100 Prozent übernommen, 2007 ging das Unternehmen schließlich in der 1&1 Internet AG auf. Offenbar gibt es noch viele Verträge, die älter als acht Jahre sind: heise Security konnte auf Anhieb mehrere tausend potenziell betroffene Domains ausfindig machen – vermutlich ist die tatsächliche Anzahl noch viel größer. Anscheinend war es sogar möglich, neben 1und1.de unter anderem auch die zum Mutterkonzern United Internet gehörigen Domains gmx.de und web.de zu konfigurieren.

Gegenüber heise Security erklärte 1&1, dass es sich um einen " temporären Software-Fehler" handelte, durch den "es am 21.01.2015 zwischen 10-19.00 Uhr bei einem sehr eingeschränkten Kundenkreis vereinzelt möglich" war, "den Login-Prozess zu Configtools.de mit abweichenden Login-Daten abzuschließen und so einen Lese- und Schreibzugriff zu erhalten". Demnach ist die Lücke erst kurz bevor sie durch die Agentur Bochmann entdeckt wurde aufgetreten. In dem angegebenen Zeitraum soll es bei einer niedrigen dreistelligen Kundenanzahl zu Login-Aktivitäten gekommen sein. Die betroffenen Kunden sollen heute per Mail über die Sicherheitspanne informiert und gebeten werden, ihre Kundendaten zu überprüfen. (rei)

wir ham keine Sicherheitsprobleme

Dort stand doch: Man konnte die Domain www.gmx.de verwalten.. also zb Kundendaten ändern, wie unsere Accounts.. Und gmx ist definitv älter als 7 Jahre, und war früher bei Schlund. Am auffälligsten finde ich jedoch wie gesagt die Übereinstimmung des Datums: Zwei Sicherheitslücken gleichzeitig gefunden am 21.01. !?
Aber lassen wir uns mal überraschen, vielleicht gibt es ja noch eine dritte Lücke oder mehr ^^

a) Am 21. hat 1und1 gesagt dass sie unsere Passwort Lücke behoben haben
b) heise hat gesagt am 21. wurde eine Lücke bei 1und1 entdeckt, die Zugriff auf alle 1und1-Seiten ermöglicht,darunter gmx

ich sag ja, dass a==b ..

Von:   Security <security@1und1.de>
Datum:   23. Januar 2015 um 16:24

Sehr geehrter Herr *

nochmals herzlichen Dank für Ihren Hinweis. Nach Ihrer Anfrage haben wir die
Passwort-Reset-Funktion zunächst offline genommen, um eine eventuelle Gefahr
für andere Nutzer auszuschließen. Die Schwachstelle wurde entfernt und nach
einer umfassenden Qualitätssicherung haben wir die Passwort-Reset-Funktion
wieder online genommen. Es waren nur wenige Nutzer potentiell betroffen, die
wir alle in Kürze informieren werden.

https://bitcointalk.org/index.php?topic=917903.msg10229526#msg10229526
https://bitcointalk.org/index.php?topic=917903.msg10237717#msg10237717

hier nochmal die zweite Mail :)

lustig, meinen hats heute auch wieder zerschossen. zum 3ten mal. Irend gegen 17:30Uhr muss derjenige es gemacht haben.
Muss nun auch bis morgen warten.

Öhm, es gibt noch ein Update:
http://upppor.it/4fhr.png

Das heißt meinen Account kann ich wieder nicht benutzen bis Morgen. \o/

Könnt ihr euch auf den Accounts denn noch per Client einloggen?

lustig, meinen hats heute auch wieder zerschossen. zum 3ten mal. Irend gegen 17:30Uhr muss derjenige es gemacht haben.
Muss nun auch bis morgen warten.

Das ist 'ne interessante info, da ich derzeit die Hypothese habe, daß das Loch dicht ist.

Dann wohl doch nicht...

Wieso musst du bis morgen warten? Ist der account gesperrt oder nur "übernommen". Hast du keine Telefonnummer oder alternative email hinterlegt?

Mein Account ist gesperrt. Kann zwar das passwort immer wieder zurücksetzen und bekomme auch die SMS, jedoch bleibt es bei der Meldung wie oben im Bild das man sich telefonisch zur Entsperrung bei denen melden soll. Und die telefonhotline ist nur bis 18Uhr geschalten, deshalb.

Sehr geehrter Herr Satoshi,

vielen Dank für Ihre E-Mail.
Wir haben gestern Nachmittag um etwa 17:30Uhr alle Kunden, die von einer
möglichen Accountübernahme in Zusammenhang mit einer Schwachstelle in der
Passwort Reset Funktion betroffen waren, mit einer Sperre versehen. Damit
möchten wir sicherstellen, dass nur der legitime Eigentümer des Accounts
Zugriff auf sein Postfach erhält.

Ich hoffe Ihnen weitergeholfen zu haben.

Viele Grüße

Niko Thome
 - 1&1 Internet AG, Information Security



------------

Scheint also endlich gefixt worden zu sein

jo bei mir gleiche Meldung .. immerhin tut sich jetzt mal offiziell was! 28 Tage zu spät, aber immerhin!

So läuft es ab:

1. nervige Bandansage die einem sagt, der PC sei voller Viren
2. Warteschlange
3. Berater fragt Geburtsdatum und Wohnsitz ab
4. "Ich sehe dass ihr Account gesperrt wurde weil sich jemand fremdes Zugriff verschaffe wollte. Da muss ich grad mal mit der Sicherheitsabteilung telefonieren"
5.  warten
6. So ich schalte ihren Account wieder frei. Aber ändern sie das Passwort und scannen sie den Computer auf Viren!


der Berater hatte natürlich auch mal wieder keine Ahnung von Sicherheitsproblemen. ^^

Gleiches Spiel bei mir. +5* betont, dass ich doch bitte einen Virenscan durchführen soll.

Aber sonst gings eigentlich recht fix. Bleibt zu hoffen, dass das Sicherheitproblem jetzt behoben ist.

Nutzen werde ich den Account jetzt trotzdem höchstens noch als "Wegwerfmail".

Mein Beileid.
Bei mir versuchte es der Hacker auch mehrmals. Er wollte bei bitcoin.de ; Cryptsy und BTC-E versuchen.
Zum Glück hatte ich zwei Tage zuvor bei allen drei Anbietern 2FA GOOGLE aktiviert gehabt. Das hat mich vor immensen schaden bewahrt.
Kann es nur jedem empfehlen mehr Wert auf Sicherheit zu legen was das angeht.

es ist ruhig geworden.. scheinbar wars das jetzt!  :)
oder hatte im Februar noch jemand Probleme mit Hackern?

Keine Probleme mehr. Es scheint das  Sicherheitsproblem das gmx nicht hatte ist gefixt.

Hattest du auf deutsch oder auf englisch mit dem Bösewicht kommuniziert?

Theymos hat noch gar nicht reagiert.

Na ja, der Account hat jetzt ein unterirdisches Trustrating so dass hoffentlich niemand mit dem Hacker Geschäfte machen wird. Ich hab hier eh nur über meinen Bot-Kram geposted. Nicht so schlimm, wenn der Account weg ist.

Trotzdem Danke für den Tipp!

Na ja, der Account hat jetzt ein unterirdisches Trustrating so dass hoffentlich niemand mit dem Hacker Geschäfte machen wird. Ich hab hier eh nur über meinen Bot-Kram geposted. Nicht so schlimm, wenn der Account weg ist.

Trotzdem Danke für den Tipp!

How did Eve get in? We can’t say for sure, but it’s likely that she used a script to target a weakness in Mail.com’s password reset page. We know such a script existed. For months, users on the site Hackforum had been selling access to a script that reset specific account passwords on Mail.com. It was an old exploit by the time Davis was targeted, and the going rate was $5 per account. It’s unclear how the exploit worked and whether it has been closed in the months since, but it did exactly what Eve needed. Without any authentication, she was able to reset Davis’ password to a string of characters that only she knew.

Mail.com gehört doch wie GMX und web.de auch zu 1&1, dazu noch ne menge anderer Dienste.
Wie ist es bei denen?

http://m.spiegel.de/netzwelt/web/a-1048623.html

Stattdessen hätte es ausgereicht, wenn das potenzielle Opfer seine E-Mail im Webbrowser abruft und dabei auf einen entsprechenden Link in einer E-Mail klickt. Ein Täter hätte auf diese Weise vollen Zugriff auf alle Inhalte des Postfachs bekommen, hätte Nachrichten lesen und weitere verseuchte E-Mails an die Kontakte des Opfers senden können.

Es soll sich da angeblich um eine neue Lücke handeln, die erst in den letzten Tagen aufgetreten ist bzw. gefunden wurde.