Die in dieses Formular eingegebenen Benutzernamen und Passwörter sind in einem üblicherweise unverschlüsselten Netzwerk jedenfalls von jedem abzugreifen, der bei mir ein Linux-Seminar mit dem Schwerpunkt "Netzwerk" belegt hat. Auch in Apache-, PHP- oder Perl-Seminaren ist das ein Thema. In Sicherheitsseminaren ohnehin.
Das glauben Sie mir nicht, weil die Euroweb in der Selbstdarstellung eine tolle, große Firma ist, die dauernd Preise "gewinnt"?
Euroweb-Webmail-Login: Sieht zwar gut aus, ist aber gefährlich! |
Das bedeutet für den Wissenden: Das einzugebende Passwort wird mit dem unverschlüsselten HTTP-Protokoll - also im Klartext - übertragen. Nach dem die Euroweb dem Hacker diesen Einbruch ausgerechnet in das Mailkonto so überaus leicht gemacht hat kann er leicht und locker weitere Zugänge dieses armen Schweines knacken, welches nach süßen Worten und dem falschen Versprechen wahrer "Web-Heldentaten" durch die Drücker ein ganz
Selbst wenn die Euroweb-Kunden diese Seite innerhalb eines verschlüsselten WLANs (Hotel, Internetcafe, Gastzugang in Firma) benutzen, dann kann immer noch der Betreiber des WLANS die Daten sehen - der muss das nur wollen. Und es wird immer wieder vor den Betreibern von WLANS gewarnt, welche z.B. durch den Name (SSID, s. unten) vortäuschen, es handele sich um ein öffentliches WLAN eines großen Anbieters, dem man vertrauen könne. Über das, was die Euroweb hier bietet, haben schon ganze Hackerkongresse herzlich gelacht.
Der Stand der Technik ist das übrigens nicht... der sieht definitiv eine Verschlüsselung eines jeden Anmeldevorganges vor, bei dem Passwörter übertragen werden.
Der Beweis:
Die bei der Anmeldung übertragenen Daten im Hackerblick (gemacht mit dem freien Programm "wireshark"):
Unten ist sehr gut zu sehen, dass der Benutzername "test@example.com" und das Passwort "test" als reiner Text übertragen wurden. In einem Firmen- oder Hotelnetz könnte der Benutzer jetzt praktisch "nackt" sein, weil sein Mailkonto geknackt wäre.
Für den Preis, den die Euroweb verlangt, ist das reichlich unsicher! Mehr Sicherheit bieten andere Anbieter für wenig Geld oder sogar ganz kostenlos.
Die Anmeldung am Euroweb-Webmail-Konto ist wegen der extremen Sicherheitslücke zu meiden!
Bei den Schwester- und Tochterfirmen WAZ-Onlineservice und Webstyle finden sich hinter "Kundenlogin" ebenfalls Formulare, die dafür sorgen, dass die eingegeben Daten im Klartext übertragen werden. Auch wenn es sich nicht um Mailkonten handelt ist damit die Gefahr verbunden, dass die Daten (Benutzername und Passwort) in unbefugte Hände geraten. Gerade durch "wiederverwendete" Passwörter besteht hier womöglich eine erhebliche Gefahr!
Fazit: "Nett!" - Für den Profit der Euroweb, die sich offensichtlich die Beschäftigung tatsächlicher Spezialisten erspart. "Nett" für kriminelle Hacker, denen die Euroweb nicht etwa eine "Sicherheitslücke" sondern ein "Sicherheitsscheunentor" präsentiert. Nicht "nett" sondern gefährlich für die in der großfressigen Euroweb-Werbung (diese Zahl wird bezweifelt!) genannten 20.000 Kunden - die hier für viel Geld eine "Leistung" erhalten, die eines unwissenden Schülers, unbedarften Lehrlings oder sonstigen Anfängers würdig wäre. Die Euroweb nennt es "Arbeit von Spezialisten".
Das "Beste" kommt zum Schluss!
Der Server "mail.euroweb.de" steht in einem Rechenzentrum der Firma Neterra im "Hackerland" Bulgarien! |
Mit der Konsequenz, dass in dem Land - in dem nicht die "teutonische Rechtssicherheit" herrscht - ein Hacker womöglich auch nur das Programm wireshark anwerfen muss um an die Daten aller Euroweb-Kunden zu kommen.
Der Euroweb-QR-Code, der zu diesem Artikel führt...
Ganz garstige Hacker können sogar den "Euroweb-Codegenerator" (der wahrscheinlich auf freeware oder der Google-Chart-Api beruht) nutzen um späteren Opfern ein WLAN anzubieten und dann die Daten "abzugreifen" ...
Wie das geht mache ich gerne vor. Allerdings erwarte ich dafür eine Gegenleistung.
6 Kommentare:
Hehe :-)
Langsam wir es Zeit Dich um Gnade zu bitten. Du trittst denen mit den Artikeln regelrecht "den Arsch" weg.
"Langsam wir es Zeit Dich um Gnade zu bitten. Du trittst denen mit den Artikeln regelrecht "den Arsch" weg."
Das wird nie passieren. Eher gefriert die Hölle zu, als das sich die Euronepper, Rechtsanwältin Gisela Phillipp Berger und/oder sonstwer um Gnade bettelnd hier melden würden. Dafür sind sie viel zu feige. Verstecken sich gar hinter einem vermeindlich anonymen Hassblog! Das spricht doch Bände.
Der richtige Gag an der Sache ist, dass das Problem mit geringstem(!) Aufwand zu beseitigen ist, es ist nur an ein paar Stellen ein Buchstabe einzufügen.
Hier versagt also nicht nur der Ersteller der Webseite, sondern vor allem die Qualitätssicherung - sofern es bei der Euroweb derlei überhaupt gibt. Und falls es das gibt, so spreche ich diesen die Bezeichnung "Spezialisten" ab.
Im Anbetracht der hohen Preise sage ich: "Bei der Euroweb bekommt man einen hübsch lackierten chinesischen Kleinwagen, (der den europäischen oder amerikanischen Crashtest niemals bestehen würde) für den Preis eines Mercedes SL" - und dass das Ding nur geleast ist wird dem Kunde auch nicht so ganz offen mitgeteilt, sondern dem wird gesagt, der bekomme den "Mercedes" hingestellt und müsse den "nur tanken".
Aus einem Mail:
"Schön.
Wenn das so ist, wie ich das oben lese, und wenn das Problem wirklich durch die Missachtung grundlegender Sicherheitsregeln und durch die Missachtung des Standes der Technik entstand, dann kann ich meinen Mandanten wohl raten die Euroweb im Gegenzug zu deren Forderung auf Schadensersatz in Anspruch zu nehmen.
Immerhin haben meine Mandanten, soweit dieses Login benutzt wurde, jetzt den Aufwand, alle Passwörter für jeden jemals benutzten Dienst zu ändern und müssen außerdem die Seite http://webmail.euroweb.net irgendwie sperren, wozu sicherlich externe Hilfe nötig ist.
Das wird aber ganz schön teuer!"
Ich würde sogar zu Schmerzensgeldforderungen raten. Aus "seelische Grausamkeit" ließe sich ja bestimmt so einiges machen.
Hier ein Hileferuf wer kann helfen bin bei WEBSTYL reingefallen
Kommentar veröffentlichen