Web

Sicherheitsloch bei Critical Path

22.09.1999

MÜNCHEN (COMPUTERWOCHE) - Der E-Mail-Dienstleister Critical Path hat ein gravierendes Sicherheitleck in seinem System eingeräumt, von dem unter anderem der Domain-Registrar Network Solutions Inc. (NSI) betroffen war. Critical Path übernimmt für andere Firmen den Betrieb von E-Mail-Systemen. Auf Wunsch bietet die Company die Möglichkeit, für deren neue Kunden automatisch ein Postfach zu generieren. Dieses müssen die Nutzer dann nur noch aktivieren. Dazu erhalten sie von Critical Path eine E-Mail mit einer klickbaren URL (Uniform Resource Locator = Internet-Adresse), deren Aufruf den Mail-Account freischaltet.

Durch einfache Veränderungen dieser Adresse konnte man allerdings bislang auch auf beliebige andere Postfächer zugreifen, ohne die entsprechenden Rechte zu besitzen. "Ein nachlässiger Fehler im Design des Systems", urteilt Aviram Jenik von israelischen Sicherheitsspezialisten Securiteam, das NSI auf die Problematik aufmerksam gemacht hatte. Critical Path arbeitet bereits unter Hochdruck an einer Lösung des Problems, das binnen 24 Stunden behoben sein soll.