facebug

GMX und web.de gehören im deutschsprachigen Raum zu den größten Freemail Anbietern überhaupt. Wieviele Deutsche genau einen E-Mail Account bei United Internet bzw. deren Marken web.de oder GMX besitzen ist nicht bekannt. In den Geschäftspräsentationen werden aber die Anzahl der (eindeutigen) Besucher mit einer Anzahl von 24,27 Mio. pro Monat angegeben. Bei fast 82 Mio. Bundesbürgern dürften davon wohl 20% die Seiten von GMX oder web.de regelmäßig besuchen, und davon wiederum viele deren kostenlose E-Mail Services nutzen. Doch wie sorgsam geht United Internet mit diesen Daten um?

Falsche Sicherheiten

Auf der Startseite von GMX wird der Login mit SSL angeboten. Fälschlicherweise könnte man hier vermuten, dass die ganze Session verschlüsselt ist. Fehlanzeige.

GMX - SSL-Login

Nach dem Login stellt man mit Überraschung fest, das die URL kein https mehr vorangestellt hat! Der erste Blick in den Datenverkehr mittels Wireshark lässt aber einen weiterhin verschlüsselten Datenverkehr vermuten. Doch nach dem Ausschalten der gzip-Funktion im Browser ist klar: Wahrscheinlich aus Performacegründen wird auf eine voll verschlüsselte und damit sichere Session verzichtet. Statt dessen ist nur die Übermittlung von Benutzername und Passwort gesichert (siehe Abb. GMX -  SSL-Login).

Danach geht also die gesamte Session ungesichert weiter. Das heißt im Klartext: Alle jetzt abgerufenen oder angeschauten E-Mails werden im Klartext durch das Internet übertragen.

Alles was der Werbepartner wissen sollte

Als ob das nicht schon genug wäre, GMX setzt für die zielgruppengerichtete Werbung diverse Skripte ein. Für Datensammler wird GMX so geradezu zum perfekte Datenlieferant.

Die JavaScript Funktion LLModSwitchSrc gibt z.B. persönlichen Daten in großem Stil an den United Internet Adserver weiter. In der Kommunikation vom Client zu GMX ebenfalls unverschlüsselt.

<script type="text/javascript">
function LLModSwitchSrc(val){
	var isrc = "https://adimg.uimserv.net/lmod/lmodad.html?";
	var cd = "firstname=Dagobert&amp;lastname=Duck&amp;title=Herr&amp;birthday=18.08.1950&amp;countryiso=DE&amp;zipcity=10001..Berlin&amp;street=Sonnenweg 14&amp;phone=&amp;email=DagobertDuck@gmx.net&amp;cno=1234567";
	var dataencoded = encodeURI(decodeAmp(cd + "&amp;tpId=" + val.tpId + "&amp;coregId=" + val.coregId));
	var newsrc = isrc + dataencoded;
	$("#llmodiframe").attr("src",newsrc);
}
</script>

Klar zu erkennen sind die Daten Vorname, Name, Geschlecht, Geburtstagsdatum, Postleitzahl, Ort, Straße, Telefon, E-Mail und Kundennummer (zum Schutz der betroffenen Person, wurden die Daten geändert).

Gemeint ist hier nicht der Aufruf des Skripts ansich, obwohl der sicher auch eine Diskussion wert ist (welche Daten an welche Werbepartner weitergegeben?!), sondern das so persönliche Daten ebenfalls unverschlüsselt in der Client-Server Kommunikation übertragen werden.

Zusammenfassung

Bei GMX und vermutlich auch bei weiteren Marken der United Internet AG scheint man auf Übertragungssicherheit keinen Wert zu legen. Dem Benutzer wird mit dem Link auf einen Login ohne SSL neben dem Benutzername und Passwort suggeriert, dass er sich hier sicher einloggt. Die komplette Session läuft dann aber im Klartext.

Der Gipfel ist aber, dass persönliche Daten wie Geburtsdatum und die komplette Adresse ebenfalls ungesichert übertragen werden. Obwohl sich das ganze Dilema durch eine komplette Verschlüsselung der Seiten innerhalb der Session vermeiden ließe.