Sicherheitslücke / Datenpanne im 1&1 Webmailer 2.0 ?
written by Ralf Schambier on Okt 29, 2009
Neben der Tatsache, dass das neue Look & Feel des 1&1 Webmailers 2.0 für meinen Geschmack gewöhnungsbedürftigt und die Performance des neuen Releases äußerst fragwürdig ist, entdeckte ich heute ein Sicherheits- bzw. Datenleck.
Ich wollte eine neue Email schreiben und klickte dafür auf das vorgesehene Icon. In die Empfängerzeile tippte ich die ersten Buchstaben meines Geschäftspartners und plötzlich öffnete sich ein Dropdown-Menue mit sämtlichen Email-Adressen, die ich unter meinem Exklusivserver bei 1&1 verwalte! Das sind immerhin über 200 verschiedene Accounts, welche auf mehrere Domains meiner Kunden verteilt sind und bedeutet, dass jeder dieser Kunden nun genau sehen kann, welche Email-Adressen ich unter den entsprechenden Domains angelegt habe (siehe Screenshot).
Datenpanne bei 1&1 Webmailer 2.0
POP3-Konto für Golem
Ich bat meinen Bruder dasselbe zu tun und auch er bekommt, sobald er auch nur zwei Buchstaben in das Empfängerfeld getippt hat, sämtlich Mail-Adressen angezeigt, die bspw. die Buchstabenkombination “er” enthalten. Das bedeutet, dass alle – ich betone, ALLE meine Kunden, deren Mail-Adresse ich über meinen Exklusivserver bei 1&1 verwalte, im Augenblick sehen können, welche Mailadressen ich für die einzelen Kunden angelegt habe
Zwischenzeitlich hat sich 1&1 gemeldet – ich berichte in Kürze.
Nachtrag: ein Golem-Leser berichtet, dass im Globalen Adressbuch ebenfalls ein Teil der verwalteten Emails zu sehen ist – ich habe das eben geprüft und es stimmt:
Ralf Schambier, betreibt seit 1997 verschiedene Internetpräsenzen, ist seit 2006 selbständig und Mitglied im Südwestdeutschen Zeitschriftenverlegerverband To change this standard text, you have to enter some information about your self in the Dashboard -> Users -> Your Profile box. 
Oktober 29th, 2009 at 09:38
..ich habe das bei mir eben ausprobiert und stelle dasselbe fest! Skandal. Gruß, Andi
November 4th, 2009 at 12:12
Na super! Schön, dass Du das entdeckt hast. Mal sehen, wie 1&1 reagiert.
Viele Grüße
Holger
November 4th, 2009 at 12:31
Bei mir ist unter Kontakte das Adressbuch mit “gesammelten” Adressen voll, die ich nicht kenne…
November 4th, 2009 at 12:32
Ja,
Auch ich kann das soweit bestätigen.
Ist eher ein mittelschweres drama.
Jedoch ist das neue WebInterface wirklich nicht das schönste und schnellste.
Mal wieder ein klassischer 1&1 FAIL!
November 4th, 2009 at 13:07
kann das auch bestätigen.
man muss mindestens 2 buchstaben der emailadresse oder des namens eintippen.
diese müssen nicht am anfang sein sondern können sich auch zwischendrinnen oder am ende befinden…
November 4th, 2009 at 14:19
Offenbar kann 1&1 ihre Reseller nicht ordentlich managen. Soweit ich weiss wird der Webmailer pro Vertrag freigeschaltet, im Fall eines Resellers sind dann alle Nutzer im gleichen Grundvertrag. Sieht nach einer unzulänglichkeit bei der Vertragsverwaltung aus, aber es hat mit einer Sicherheitslücke rein garnichts zu tun.
November 4th, 2009 at 14:24
Ja, eher eine Datenpanne als eine Sicherheitslücke – da stimme ich zu.
November 4th, 2009 at 14:49
Noch mehr von diesem sogenannten ‘Skandal’: Man klicke auf “Öffentliche Ordner”, und dann auf “Globales Adressbuch”
Wie kommt man darauf, daß Leute sich nicht sehen dürfen, nur weil der Domainname in der E-Mail-Adresse anders ist? Und was würde nach dieser Logik mit Leuten passieren, die E-Mail-Aliases in mehreren Domains haben?
November 5th, 2009 at 01:59
1&1 bietet diese Art von Resellermodell doch überhaupt nicht an!? Es gibt eine Vertragsnummer unter der die Domains und E-Mail Konten geführt werden. Somit können sich auch alle innerhalb dieser Vertragsnummer sehen! Wenn ich das richtig verstehe gibt es aus Sicht von 1und1 genau einen Kunden mit mehreren Domains, mit dem auch abgerechnet wird. Woher sollen die denn wissen wer sich dort sehen darf und wer nicht? Ich habe ebenfalls einen Vertrag bi 1&1 und ich sehe genau die Leute die ich unter dieser Vertragsnummer angelegt habe. Sorry, aber ich sehe hier keinen Skandal und auch keine Sicherheitslücke. Es gibt halt nur kein Resellermodell wie Du es Dir ggf. wünscht.
November 5th, 2009 at 03:55
Ich muss schmunzeln, viel heisse Luft hier, erkläre mir mal jemand :Wo ist da ein Datenleck?
Du nutzt deinen Vertrag und die Email Adrssen die dir als Kunde persönlich zustehen um E-Mail Konten an Dritte zu vermieten.
Diese Art von Resellerprogramm ist von Seiten 1&1 nie vorgesehen gewesen und wird auch nirgends erwähnt, korrekt? Ist das überhaupt legal?
Woher soll 1&1 also wissen das es sich hier nicht umd eine persönlichen Emailaddressen für dich und Mitarbeiter / Freunde handelt, denn dann ist dieses Feature ja sehr sinnvoll?
Marc
November 5th, 2009 at 04:04
Ach ja, hier noch einer der vielen Antworten aus dem 1&1 FAQ zum Thema “nicht für Reseller gedacht”:
http://hilfe-center.1und1.de/server/exklusiv_server/2.html
Marc
November 5th, 2009 at 06:59
Man muss bedenken, dass der 1&1 Webmailer die Mail-Komponente der Open-Xchange-Groupware ist, die von 1&1 als MailXchange verkauft wird. Und genau dieses MailXchange wird von 1&1 beworben mit dem Satz “Kontakte und Aufgaben für alle Teammitglieder verfügbar”.
Wenn man nun einzelne Acounts aus so einem team verkauft, bleiben diese immer noch ein Team und haben Zugriff auf “Kontakte und Aufgaben für alle Teammitglieder”.
Eine Sicherheitslücke ist das nicht, sondern eine Datenpanne durch die falsche Nutzung einer Software.
November 5th, 2009 at 07:34
Danke für Deinen Kommentar – das Problem ist – ob es sich um private Emails oder möglicherweise Business-Adressen handelt ist mir so ziemlich egal. Fakt ist, dass dieses Leck in der alten Version des Webmailers nicht vorhanden war und erst seit der Umstellung auf 2.0 die Adressen aufblenden. Ich will das nicht und ich kann mir bei 6 Millionen 1&1 Kunden auch gut vorstellen, dass es noch ein paar mehr gibt, die das genauso sehen.
November 5th, 2009 at 07:39
Danke für Deinen Kommentar. Fakt ist, dass es mir egal ist, ob es sich um persönliche Adressen für mich und meine MA oder Freunde handelt. Es geht niemanden etwas an, wem ich welche Adresse vergeben habe. Außerdem wundere ich mich einfach über die Tatsache, dass dieses Problem erst seit der Umstellung auf 2.0 aufgetaucht ist und vorher kein Thema war.
November 5th, 2009 at 09:01
Ich selber bin auch bei 1&1 und habe die News bei Golem.de gelesen. Dabei bin ich auf diesen Blog gestoßen.
Ich habe das selber auch nachgeprüft, und habe die selben Ergebnisse erhalten. Mit Hinweis auf Golem.de und diesen Blog habe ich ebenfalls in meinem Blog einen Eintrag vorgenommen. Heute habe ich einen Kommentareintrag von 1&1 erhalten, den ich hier einfügen möchte:
“Andreas Maurer, 1&1 Pressestelle sagt:
5.11.2009 bei 10:50
Der neue Webmailer basiert auf unserer Kollaborationslösung 1&1 MailXchange und hat von dort das so genannte ‘globale Adressbuch’ als Feature übernommen. Dabei werden dem Nutzer – in der Regel sind dies Firmen – alle zum Vertrag gehörenden MailXchange-Adressen angezeigt. Entsprechend ist dies keine Sicherheitslücke, sondern ein Feature.
Bei Webhosting-Verträgen, die wiederverkauft wurden, werden im Webmailer allerdings entsprechend die Mail-Adressen aller Kunden des Resellers angezeigt. Aus diesem Grund haben wir beispielsweise alte Schlund+Partner-Verträge – dort haben wir das Reselling explizit angeboten – von der Umstellung auf den neuen Webmailer ausgenommen.
Ein Bugfix für diesen Effekt liegt uns bereits vor und wird derzeit von unserer Qualitätssicherung geprüft. Als kurzfristige Lösung kann der Vertragsinhaber im Control Center den alten 1&1 Webmailer aktivieren.”
Es wird also an dem Problem gearbeitet und es wird auch behoben. Wir warten einfach ab.
November 5th, 2009 at 09:15
Der neue Webmailer basiert auf 1&1 MailXchange und hat von dort das globale Adressbuch als Feature übernommen. Dabei werden dem Nutzer – in der Regel sind dies Firmen – alle zum Vertrag gehörenden (und vom Vertraginhaber angelegten) MailXchange-Adressen angezeigt. Entsprechend ist dies keine “Sicherheitslücke”, sondern ein Feature.
Bei Webhosting-Verträgen, die wiederverkauft wurden, werden im Webmailer allerdings entsprechend die Mail-Adressen aller Kunden des Resellers angezeigt. Aus diesem Grund haben wir beispielsweise alte Schlund+Partner-Verträge – dort haben wir das Reselling explizit angeboten – von der Umstellung auf den neuen Webmailer ausgenommen.
Ein Bugfix für diesen Effekt liegt uns bereits vor und wird derzeit von unserer Qualitätssicherung geprüft. Als kurzfristige Lösung können Sie im Control Center in jedem Fall den alten 1&1 Webmailer aktivieren.
November 13th, 2009 at 12:15
Heute hat es offenbar ein Update gegeben – und siehe da: Das globale Adressbuch + Autocomplete funktioniert wie erwartet. 14 Tage sind schon ziemlich fix wenn man bedenkt dass die Lösung erst entwickelt, getestet, eingespielt und live gestellt werden muss.