Kommentare zu: Sicherheitslücke / Datenpanne im 1&1 Webmailer 2.0 ?

Von: mba

mba — Fri, 13 Nov 2009 13:15:05 +0000

Heute hat es offenbar ein Update gegeben – und siehe da: Das globale Adressbuch + Autocomplete funktioniert wie erwartet. 14 Tage sind schon ziemlich fix wenn man bedenkt dass die Lösung erst entwickelt, getestet, eingespielt und live gestellt werden muss.

Von: Andreas Maurer, 1&1 Pressestelle

Andreas Maurer, 1&1 Pressestelle — Thu, 05 Nov 2009 10:15:43 +0000

Der neue Webmailer basiert auf 1&1 MailXchange und hat von dort das globale Adressbuch als Feature übernommen. Dabei werden dem Nutzer – in der Regel sind dies Firmen – alle zum Vertrag gehörenden (und vom Vertraginhaber angelegten) MailXchange-Adressen angezeigt. Entsprechend ist dies keine “Sicherheitslücke”, sondern ein Feature.

Bei Webhosting-Verträgen, die wiederverkauft wurden, werden im Webmailer allerdings entsprechend die Mail-Adressen aller Kunden des Resellers angezeigt. Aus diesem Grund haben wir beispielsweise alte Schlund+Partner-Verträge – dort haben wir das Reselling explizit angeboten – von der Umstellung auf den neuen Webmailer ausgenommen.

Ein Bugfix für diesen Effekt liegt uns bereits vor und wird derzeit von unserer Qualitätssicherung geprüft. Als kurzfristige Lösung können Sie im Control Center in jedem Fall den alten 1&1 Webmailer aktivieren.

Von: Kay Kisser

Kay Kisser — Thu, 05 Nov 2009 10:01:26 +0000

Ich selber bin auch bei 1&1 und habe die News bei Golem.de gelesen. Dabei bin ich auf diesen Blog gestoßen.
Ich habe das selber auch nachgeprüft, und habe die selben Ergebnisse erhalten. Mit Hinweis auf Golem.de und diesen Blog habe ich ebenfalls in meinem Blog einen Eintrag vorgenommen. Heute habe ich einen Kommentareintrag von 1&1 erhalten, den ich hier einfügen möchte:

“Andreas Maurer, 1&1 Pressestelle sagt:
5.11.2009 bei 10:50
Der neue Webmailer basiert auf unserer Kollaborationslösung 1&1 MailXchange und hat von dort das so genannte ‘globale Adressbuch’ als Feature übernommen. Dabei werden dem Nutzer – in der Regel sind dies Firmen – alle zum Vertrag gehörenden MailXchange-Adressen angezeigt. Entsprechend ist dies keine Sicherheitslücke, sondern ein Feature.

Ein Bugfix für diesen Effekt liegt uns bereits vor und wird derzeit von unserer Qualitätssicherung geprüft. Als kurzfristige Lösung kann der Vertragsinhaber im Control Center den alten 1&1 Webmailer aktivieren.”

Es wird also an dem Problem gearbeitet und es wird auch behoben. Wir warten einfach ab.

Von: admin

admin — Thu, 05 Nov 2009 08:39:32 +0000

Danke für Deinen Kommentar. Fakt ist, dass es mir egal ist, ob es sich um persönliche Adressen für mich und meine MA oder Freunde handelt. Es geht niemanden etwas an, wem ich welche Adresse vergeben habe. Außerdem wundere ich mich einfach über die Tatsache, dass dieses Problem erst seit der Umstellung auf 2.0 aufgetaucht ist und vorher kein Thema war.

Von: admin

admin — Thu, 05 Nov 2009 08:34:30 +0000

Danke für Deinen Kommentar – das Problem ist – ob es sich um private Emails oder möglicherweise Business-Adressen handelt ist mir so ziemlich egal. Fakt ist, dass dieses Leck in der alten Version des Webmailers nicht vorhanden war und erst seit der Umstellung auf 2.0 die Adressen aufblenden. Ich will das nicht und ich kann mir bei 6 Millionen 1&1 Kunden auch gut vorstellen, dass es noch ein paar mehr gibt, die das genauso sehen.

Von: Rene

Rene — Thu, 05 Nov 2009 07:59:34 +0000

Man muss bedenken, dass der 1&1 Webmailer die Mail-Komponente der Open-Xchange-Groupware ist, die von 1&1 als MailXchange verkauft wird. Und genau dieses MailXchange wird von 1&1 beworben mit dem Satz “Kontakte und Aufgaben für alle Teammitglieder verfügbar”.

Wenn man nun einzelne Acounts aus so einem team verkauft, bleiben diese immer noch ein Team und haben Zugriff auf “Kontakte und Aufgaben für alle Teammitglieder”.

Eine Sicherheitslücke ist das nicht, sondern eine Datenpanne durch die falsche Nutzung einer Software.

Von: Marc

Marc — Thu, 05 Nov 2009 05:04:23 +0000

Ach ja, hier noch einer der vielen Antworten aus dem 1&1 FAQ zum Thema “nicht für Reseller gedacht”:

http://hilfe-center.1und1.de/server/exklusiv_server/2.html

Marc

Von: Marc

Marc — Thu, 05 Nov 2009 04:55:39 +0000

Ich muss schmunzeln, viel heisse Luft hier, erkläre mir mal jemand :Wo ist da ein Datenleck?

Du nutzt deinen Vertrag und die Email Adrssen die dir als Kunde persönlich zustehen um E-Mail Konten an Dritte zu vermieten.

Diese Art von Resellerprogramm ist von Seiten 1&1 nie vorgesehen gewesen und wird auch nirgends erwähnt, korrekt? Ist das überhaupt legal?

Woher soll 1&1 also wissen das es sich hier nicht umd eine persönlichen Emailaddressen für dich und Mitarbeiter / Freunde handelt, denn dann ist dieses Feature ja sehr sinnvoll?

Marc

Von: Anonymous

Anonymous — Thu, 05 Nov 2009 02:59:35 +0000

1&1 bietet diese Art von Resellermodell doch überhaupt nicht an!? Es gibt eine Vertragsnummer unter der die Domains und E-Mail Konten geführt werden. Somit können sich auch alle innerhalb dieser Vertragsnummer sehen! Wenn ich das richtig verstehe gibt es aus Sicht von 1und1 genau einen Kunden mit mehreren Domains, mit dem auch abgerechnet wird. Woher sollen die denn wissen wer sich dort sehen darf und wer nicht? Ich habe ebenfalls einen Vertrag bi 1&1 und ich sehe genau die Leute die ich unter dieser Vertragsnummer angelegt habe. Sorry, aber ich sehe hier keinen Skandal und auch keine Sicherheitslücke. Es gibt halt nur kein Resellermodell wie Du es Dir ggf. wünscht.

Von: Anonymous

Anonymous — Wed, 04 Nov 2009 15:49:35 +0000

Noch mehr von diesem sogenannten ‘Skandal’: Man klicke auf “Öffentliche Ordner”, und dann auf “Globales Adressbuch”

Wie kommt man darauf, daß Leute sich nicht sehen dürfen, nur weil der Domainname in der E-Mail-Adresse anders ist? Und was würde nach dieser Logik mit Leuten passieren, die E-Mail-Aliases in mehreren Domains haben?