GMX Accounts können gehackt werden?

[qwk]

Mail.com gehört doch wie GMX und web.de auch zu 1&1, dazu noch ne menge anderer Dienste.
Wie ist es bei denen?

Im Moment gibt es ja wohl noch keine Bestätigung, dass es überhaupt Probleme bei GMX gibt, es ist auch möglich, dass es eine ganz andere Ursache hat, die bei den Usern selbst zu suchen ist. Lediglich die Häufung und die spezielle "Art" der betroffenen User deuten darauf hin, dass es eben wirklich an GMX liegt.

Solange aber völlig unklar ist, wo das Problem liegt, bzw. um was für eine Lücke es sich handelt, kann man unmöglich sagen, ob davon nur GMX oder gar nur Teile von GMX, oder eben auch andere Dienste betroffen sind.

[1714681326]

1714681326

[1714681326]

1714681326

[1714681326]

1714681326

[1714681326]

1714681326

[1714681326]

1714681326

[LiteCoinGuy]

gut das ich seit 1996 bei AOL bin 

[klaus]

Ich dachte Du wärst bei CompuServe.

[mezzomix]

gut das ich seit 1996 bei AOL bin 

Der war gut. Mit denen schlage ich mich, seit die das Internet entdeckt haben und der Meinung sind sie könnten tatsächlich Mailserver betreiben, auch schon rum. Es gibt kaum einen anderen möchtegern MX Betreiber, der so unfähig ist wie die. RFCs werden bei denen vermutlich maximal als Klopapier benutzt. Dass man die Dinger lesen kann, weiss dort wohl noch keiner.

Wenn AOL Nutzer überhaupt Mails raus oder reinkriegen, liegt es nur daran, dass die anderen Betreiber so tolerant sind. Die AOL Jungs einen Mailserver betreiben lassen ist ungefähr damit vergleichbar, eine Kindergartengruppe auf die Autobahn zum spielen zu schicken.

[OhShei8e]

Etwas was mir noch aufgefallen ist:

Ich war hier noch mit einer anonymen Adressen eines Deutschen Mailproviders (nicht GMX, nicht WEB.DE) angemeldet. Ich habe nie E-Mail-Benachrichtigungen bekommen, wenn es zu Themen neue Beiträge gab, obwohl ich die entsprechende Option angehackt habe. Nach der Diskussion hier habe ich meine Adresse im Forum mal auf eine meiner selbstverwalteten Adressen umgestellt und siehe da, schon kommen die Bestätigungsmails an. 

Ich sehe, dass sie ein paar Punkte vom Spamassassin bekommen, aber nichts weltbewegendes, weshalb man sie ablehnen oder wegsortieren müsste. Sowieso schluckt mein Mailserver alles. Ich mag meine Mails roh und zappelnd. Oder kann es sein, dass das Forum an bestimmte Mailprovider nicht ausliefert, weil diese sich merkwürdig verhalten?

Zeigt mir jedenfalls wiedereinmal wie "gefährlich" es ist, sich auf einen Mailprovider zu verlassen. Man verliert am Ende Mails. Bei so ziemlich allen.   

[molecular]

@All: Muss demnächst einen Mailserver neu machen. Soll ich bei der Gelegenheit mal ein How-To erstellen und in meinem Blog/Wiki veröffentlichen? Vielleicht kann ich dann auch noch von euch was lernen.

jajajaja, bitte!

[OhShei8e]

jajajaja, bitte!

Okay, Ende Februar/Anfang März wird geliefert.  

[yxt]

Hat eigentlich schon mal jemand bei Posteo angefragt wegen BTC Zahlung?

Betreiben die IP spripping?

[Lincoln6Echo]

Hat eigentlich schon mal jemand bei Posteo angefragt wegen BTC Zahlung?

Betreiben die IP spripping?

Ja, habe bei Posteo schon mal angefragt. Die meinten, dass das Bitcoin Mining nicht zu ihrem ,,grünen'' Service passt.
Habe Sie darauf hingewiesen, dass die Server, Desktops und Laptops von Banken, Paypal usw. ebenfalls weltweit gesehen eine erhebliche Menge an Energie verbraten. Die haben anscheinend Angst um ihr Image.

Aber je öfter jemand nach Bitcoin als Bezahlungsoption anfragt, desto besser!

[yxt]

Ja, da gebe ich dir recht.

Ich war nur verwundert warum die hier so oft empfohlen, gibt ja Alternativen die BTC akzeptieren.

[ionication]

Mein GMX-Account wurde ebenfalls gekapert, schon Ende November. Kam mit meinem Passwort nicht mehr rein. Nach Passwort-Reset über eine andere hinterlegte E-Mail-Adresse konnte ich wieder rein ins Postfach: Die von mir eingerichtete Dauer-Mail-Weiterleitung war deaktiviert. Es waren inzwischen etliche Mails aufgelaufen. Eine davon war in der Web-Oberfläche als bereits gelesen markiert: Eine Passwort-Reset-Mail für meinen alten Account bei campbx.com (US-Bitcoin-Börse), die ich natürlich nicht selbst angefordert hatte. Auch das dortige Passwort war bereits zurückgesetzt. Dank 2FA und mangels Guthaben ist dort allerdings kein Schaden entstanden.

Ich kann mir den Hack bis heute kaum erklären, da ich mich in den E-Mail-Account auch nur zweimal im Jahr einlogge, um eine Deaktivierung seitens GMX zu verhindern. Die GMX-Hotline war absolut gar keine Hilfe bei der Aufklärung. Logdaten würden ausschließlich an Ermittlungsbehörden ausgehändigt.

Schön, dass es mit der Passwort-Reset-Exploit-Sicherheitslücke möglicherweise jetzt eine Erklärung gibt.

[qwk]

Also, ich muss jetzt schonmal recht blöd nachfragen, weil ich selber kein GMX habe:

gibt es bei GMX eine Art Passwort-Rücksetzen-Funktion mit Sicherheitsfrage oder so?
Also das typische "Mädchenname deiner Mutter" oder sowas?

Oder kann es sein, dass man sich den Zugang zu den GMX-Accounts in irgendeiner Weise mit Informationen verschaffen kann, die irgendwo hier im Forum auffindbar sind, ggf. auch über einen der Hacks der Vergangenheit? Schließlich scheinen bisher ja nicht reihenweise GMX-Accounts betroffen zu sein, aber eben sehr wohl eine Menge GMX-Accounts von bitcointalk-Nutzern.

[ionication]

Kleine Ergänzung: Es war nicht die gleiche GMX-Adresse mit der ich hier bei bitcointalk registriert bin und es gibt auch keinerlei Ähnlichkeit im Namen oder mit meinem Nutzernamen.

Eine Sicherheitsfrage gibt es, aber die wird meines Wissens nur bei der Hotline verwendet. Einen solchen Reset via Hotline hat es aber laut Hotline nicht gegeben.

[Akka]

Also, ich muss jetzt schonmal recht blöd nachfragen, weil ich selber kein GMX habe:

gibt es bei GMX eine Art Passwort-Rücksetzen-Funktion mit Sicherheitsfrage oder so?
Also das typische "Mädchenname deiner Mutter" oder sowas?

Ich hatte nur Rücksetztfunktion per Mail an eine andere Adresse aktiv. Darüber habe ich dann auch wieder die Kontrolle über den Account übernommen.

Also so einfach wie das kennen der Sicherheitsfrage kanns nicht sein.

Oder kann es sein, dass man sich den Zugang zu den GMX-Accounts in irgendeiner Weise mit Informationen verschaffen kann, die irgendwo hier im Forum auffindbar sind, ggf. auch über einen der Hacks der Vergangenheit? Schließlich scheinen bisher ja nicht reihenweise GMX-Accounts betroffen zu sein, aber eben sehr wohl eine Menge GMX-Accounts von bitcointalk-Nutzern.

Scheinbar habe alle die gehackt wurden ihre Mail Adresse zumindest 1 mal hier im Forum gepostet. In PM's in meiner Outbox behauptet der Hacker:

It can reset pass to any email that is @gmx.net @gmx.de @gmx.ch @gmx.at, the email that you take must have a recovery option for it to work like a phone or email
give me an email and ill attempt to take it to prove it

[molecular]

gibt es bei GMX eine Art Passwort-Rücksetzen-Funktion mit Sicherheitsfrage oder so?
Also das typische "Mädchenname deiner Mutter" oder sowas?

Bei mir geht nur

• rücksetzen per alternativer hinterlegter email-adresse
• rücksetzen per sms token

dann gibt's noch eine telefon-frage und -antwort.

Meiner Meinung nach gibt es eine Sicherheitslücke irgendwie bei diesem Prozess. Es gab schonmal eine Anfang 2011, die wurde aber geschlossen.

[manfred87]

bin auch betroffen.. gehackt am 31.12 nachmittags. Könnte am schlampigen Webinterface liegen.. sowohl Hacker als auch ich waren gleichzeitig eingeloggt und konnten beide lustig das Passwort hin- und herändern ohne dass die Session des anderen beendet würde.
Seine Handynummer:  +436********415
Seine IP: 73.18.148.9

hab aber auch einen Java-Trojaner in meinem Thunderbird-Programm gefunden, vielleicht lag es daran.. ( dass wir eine stille email bekommen die das PW weiter leitet )

Ist auch jemand betroffen, der keinen Email-Client verwendet, kein Android etc und Webmail nur über eine sichere Verbindung? ( SSL + definitiv virenfreier Browser ) ?

Sicherheitsmassnahmen:
- PC auf Viren scannen
- Browser und Email-Client aktuell halten, eventuell Plugins deaktivieren ( Java, Flash etc.. )
- beim Webinterface vorm einloggen SSL im Browser aktivieren: https://www.gmx.net ( nicht .de oder so, dann wirds wieder ohne ssl )
- im Webinterface nachsehen ob Sessions von anderen IPs offen sind ( kann man dort schliessen )
- im Webinterface Virenscanner und Spamfilter aktivieren
- im Webinterface öfters Passwort ändern + darunter "mobile Zugänge zurück setzen" anklicken
- alle drei Passwort-Reset-Sachen aktivieren ( Email, SMS, Telefonfrage )
- Emails runterladen und nicht im Postfach lassen ( so findet der Angreifer lohnenswerte Ziele nicht )
- Filterregel erstellen: neue Emails automatisch löschen + an sichere Email weiterleiten ( z.B. Gmail mit 2-Faktor-Autorisierung )

[Acura3600]

Wurde auch am 31.12 Abends zu Sylvester gehackt mit der gleichen IP.
Rückverfolgung ergab Washington/Michigan USA!
Die gleiche IP wie in deinem Fall!
Kann aber übern Proxy erfolgt sein mit der IP!
Nutze auch Mozilla Thunderbird.

[molecular]

bin auch betroffen.. gehackt am 31.12 nachmittags. Könnte am schlampigen Webinterface liegen.. sowohl Hacker als auch ich waren gleichzeitig eingeloggt und konnten beide lustig das Passwort hin- und herändern ohne dass die Session des anderen beendet würde.
Seine Handynummer:  +436********415
Seine IP: 73.18.148.9

hab aber auch einen Java-Trojaner in meinem Thunderbird-Programm gefunden, vielleicht lag es daran.. ( dass wir eine stille email bekommen die das PW weiter leitet )

Ist auch jemand betroffen, der keinen Email-Client verwendet, kein Android etc und Webmail nur über eine sichere Verbindung? ( SSL + definitiv virenfreier Browser ) ?

Sicherheitsmassnahmen:
- PC auf Viren scannen
- Browser und Email-Client aktuell halten, eventuell Plugins deaktivieren ( Java, Flash etc.. )
- beim Webinterface vorm einloggen SSL im Browser aktivieren
- im Webinterface nachsehen ob Sessions von anderen IPs offen sind ( kann man dort schliessen )
- im Webinterface Virenscanner und Spamfilter aktivieren
- im Webinterface öfters Passwort ändern + darunter "mobile Zugänge zurück setzen" anklicken
- alle drei Passwort-Reset-Sachen aktivieren ( Email, SMS, Telefonfrage )
- Emails runterladen und nicht im Postfach lassen ( so findet der Angreifer lohnenswerte Ziele nicht )
- Filterregel erstellen: neue Emails automatisch löschen + an sichere Email weiterleiten ( z.B. Gmail mit 2-Faktor-Autorisierung )

Das sind gute tips.

Fragen:

• woher hast du seine IP-Adr und Telefonnummer?
• wo im web-interface kann ich offene sessions sehen?
• gibts es etwa eine login-historie? Wenn ja wo? Ich finde soetwas nicht.

[molecular]

Ist auch jemand betroffen, der keinen Email-Client verwendet, kein Android etc und Webmail nur über eine sichere Verbindung? ( SSL + definitiv virenfreier Browser ) ?

Bei mir war es genau andersrum: ich wurde gehackt (password wurde geändert), obwohl ich nie auf das webinterface gehe. Nur IMAP (STARTLS).

Ich glaube weiterhin an eine Lücke im passwort-reset-prozess.

[manfred87]

Also die IP kommt von den ganzen Diensten wo er auf "Passwort vergessen" geklickt hat.. GMX selbst gibt ja gar nix raus! Die Telefonnummer hatte er dann selber gesetzt für die Passwort-Vergessen-Option! Daher auch die Sternchen ( habs verpeilt die komplette Nummer nochmal zu speichern bevor ich wieder meine Nummer hergestellt hatte )

Ich glaube eine Login-Historie gibt es nicht! Es gibt nur:
Einstellungen ( unten links nach dem einloggen ) -> Aktive Sitzungen ( Mitte oben )