26. Februar 2004

[ Datenschutz ]

Spaß mit T-Online, E-Mail und WLANs

Spiegel Online hat eine schöne Story über eine richtig böse Sicherheitslücke bei T-Online. Worum es geht: Jemand, der über eine T-Online-Einwahl Mails vom T-Online-Mailserver abruft, bekommt die Mails des Accountinhabers. Ja, wirklich. Einfach so. Auch wenn er nicht der Accountinhaber ist, sondern jemand anderes.

"Wie? Es gibt doch POP3!" Ja, genau:

"Beim Zugriff auf E-Mails per POP3 erlaubt T-Online grundsätzlich überhaupt keine Prüfung der Benutzerkennung. Die Identifizierung erfolgt ausschließlich über die jeweils verwendete Einwahlkennung, zum Abruf der Mail sind weder Benutzername noch -kennwort erforderlich", erklärt Internet-Experte Urs Mansmann von der Computer-Zeitschrift "c't" das Phänomen.

Mit anderen Worten: Wer den Anschluss besitzt und sich darüber einwählt, gibt für die Dauer der Session seine Mails an alle frei, die im Netzwerk einen E-Mail-Abruf starten.


Man braucht also nur einen T-Online-Account, ein WLAN und einen anderen T-Online-Mail-Nutzer der vorbeikommt und schon lernt man neue Leute kennen. Prima.

Danke an Heiko Hebig für den Pointer.

Trackbacks sind Links von anderen Weblogs auf diesen Eintrag.

Das ist ja noch nicht einmal ein Skandälchen, was Spiegel Online da ausmacht: »Wlan trifft T-Online: Postraub eingebaut«. Konkret geht es um das Abrufen der E-Mails vom E-Mail-Account bei T-Online mit Pop 3. T-Online hat dort nämlich seit jeher sein...

Late Night Blog: Problemchen (26.02.04 15:46)

 

Ich kann da ebenfalls kein 'Problem' feststellen. Mehr noch, auch die Abfrage einer Benutzerkennung etc. würde da keine Abhilfe schaffen.

Der Datenverkehr von Teilnehmern im WLAN kann halt grundsätzlich immer mitgehört werden, wenn keine WLAN-Verschlüsselung aktiviert ist. Die Dinger funken halt. Was ist daran schwer zu begreifen?

Wolfgang Flamme am 27.02.04 04:55 #
 

Es geht hier nicht um das "mitschnüffeln" von Datenverkehr, sondern darum, dass T-Online User einfach so, wenn sie in einem fremden, an T-Online angeschlossenen WLAN surfen, die Mails anderer Leute in ihr Postfach bekommen, ob sie wollen oder nicht. Selbstverständlich würde eine Benutzerkennung da helfen!

Martin Röll am 27.02.04 08:29 #
 

Ich argumentiere mal ganz logisch, nicht daß wir uns am Ende noch streiten.

1. Man surft nicht einfach 'aus Versehen' im WLAN des Nachbarn, schon gar nicht 'ob man will oder nicht'.
Bestes Argument ist, das dieses Problem erst jetzt auffällt, obwohl es schon seit längerem T-Online-Accounts mit WLAN gibt.

2. Selbst der etwas reißerische Artikel im Spiegel liest sich da anders, spricht immerhin von erforderlicher 'Neugier' und setzt das "aus Versehen" in unübersehbare Anführungsstriche.

3. Wo mit Vorsatz zu rechnen ist, ist eben mit Vorsatz zu rechnen. Auch mit 'mitschnüffeln'.

4. Wo mit mitschnüffeln zu rechnen ist, hilft die PW-Sicherung des POP-Accounts auch nicht.

5. Was der Sicherheit nicht zuträglich ist, ist aus Sicherheitssicht entbehrlich.

6. Die fehlende Absicherung des WLAN ist also das eigentliche Problem der Indiskretion. Wird die abgestellt, verirrt sich auch niemand mehr 'zufällig' oder 'zwangsläufig' in fremde WLANs und Postfächer, ob mit POP-PW oder ohne.

Die Vorstellung, ein POP-PW allein würde das Problem beheben ist ungefähr so, als würde man jemanden einen Virenscanner mit veralteten Signaturen empfehlen, weil das ja immerhin ein klein wenig hilft.

Ich hoffe, mein Gedankengang ist jetzt nachvollziehbar.

Wolfgang Flamme am 27.02.04 12:15 #
 

Aber sicher ist das nachvollziehbar ...
Allerdings ist das schon ein wenig plakativ dargestellt. "Wenn es keine 100%ige Sicherheit gibt, gibt es gar keine." waere dann das Gegenstueck dazu.
Es sind doch durchaus Situationen denkbar, in welchen durchaus absichtlich und erlaubterweise in einem fremden WLAN gearbeitet wird. Und in diesem Zusammenhang muss ich nicht unbedingt die Mails des Besitzers in meinem Postfach sammeln.
Es ist mir schleierhaft, wieso man bei T-Online immer noch an dieser fuerchterlichen Kopplung von Mailabruf und Zugang festhaellt.

Paul Schmidt am 15.09.05 18:02 #
 

Weiß jemand, ob das immer noch so ist? Der Eintrag und letzte Kommentar dazu ist ja nun immerhin über anderthalb Jahre alt.

Martin Röll am 15.09.05 18:40 #
 

Hallo Martin,

ja leider ist das immer noch so und ich schätze da wird dich auch nichts dran ändern.
Ein einigermaßen "sicherer" Schutz bietet daher nur die Verschlüsselung des WLAN - Routers im Heimnetz.
100%ige Sicherheit gibt es ohnehin nirgendwo.
Nur ist es echt bescheuert, wenn man mit Bekannten ´ne Netzwerkparty u.a. mit Laptop macht und einer der Gäste dann ohne Absicht meine Post einsehen kann.

Andreas Geuther am 28.05.06 08:50 #