Sicherheitslücke in Tutanota behoben

Bei einer unserer regelmäßigen Sicherheitsüberprüfungen haben wir eine XSS-Schwachstelle gefunden, die nun behoben wurde.

2021-03-25
Am 25. Februar haben wir eine mögliche Cross-Site-Scripting (XSS)-Schwachstelle auf einer unserer Webseiten identifiziert, die von unserem Webmail-Client, Desktop und mobilen Apps getrennt ist und die Verarbeitung von Zahlungsinformationen von unserem Zahlungsanbieter Braintree betrifft. Wir haben sofort einen serverseitigen Fix veröffentlicht, um die Schwachstelle zu beseitigen, und die Clients mit dem nächsten Release aktualisiert.
REGISTRIEREN

Was ist passiert und welche Maßnahmen haben wir ergriffen?

Die Sicherheitslücke wurde bei der Verbesserung des Erscheinungsbildes einer Zwischenseite, die während des 3D-Secure-Einrichtungsprozesses der Kreditkarte angezeigt wird, am 20. Januar eingeführt. Wir haben die Schwachstelle sofort nach ihrer Entdeckung am 25. Februar behoben.

Die Schwachstelle ermöglichte es einem Angreifer, einen bösartigen Link zu erstellen, über den Anmeldedaten abgegriffen werden konnten.

Bis heute sind keine Versuche bekannt, die Sicherheitslücke auszunutzen. Obwohl die Sicherheitslücke auf einer Seite auftrat, die mit Kreditkartenzahlungen zu tun hatte, waren keine Zahlungsdaten abgreifbar.

Muss ich mein Passwort ändern?

Die gefundene Sicherheitslücke konnte nur ausgenutzt werden, weil die Zahlungsabwicklung unter unserer Hauptdomain lief. Dadurch war es durch die Schwachstelle möglich, an Passwörter oder Sitzungsauthentifizierungen im Browser zu gelangen.

Die Sicherheitslücke hätte unter folgenden Umständen ausgenutzt werden können:

  • Wenn Sie zwischen dem 20. Januar und dem 25. Februar 2021 einen Link erhalten und angeklickt haben, der mit https://mail.tutanota.com/braintree.html begann.

  • Falls Sie Ihre Tutanota-Anmeldedaten im Browser gespeichert haben, hätte der Angreifer dann auf Ihr Passwort zugreifen können.

  • Falls Sie im Browser eingeloggt waren, hätte der Angreifer Ihre Sitzungsauthentifizierung nutzen können, um auf Ihr Postfach zuzugreifen, bis Sie sich wieder abgemeldet hätten.

  • Die Schwachstelle konnte auf keinen Fall ausgenutzt werden, wenn Sie Tutanota nur über unsere Desktop-Clients und mobilen Apps nutzen.

Bitte beachten Sie: Die automatische Weiterleitung an unseren Zahlungsabwickler, wenn Sie für Tutanota bezahlt haben, stellte nie eine Sicherheitslücke dar.

Wenn Sie glauben, dass jemand Ihr Passwort in die Hände bekommen haben könnte, ändern Sie bitte Ihr Passwort und aktualisieren Sie Ihren Wiederherstellungscode, beides unter Einstellungen -> Login.

Es ist wichtig, auch Ihren Wiederherstellungscode zu aktualisieren, wenn Sie glauben, dass jemand Ihr Passwort gestohlen hat, denn mit dem Passwort könnte er Ihren Wiederherstellungscode geändert haben, um Ihr Konto zu einem späteren Zeitpunkt böswillig zu übernehmen.

Schritte zur Vermeidung ähnlicher Probleme

Wir haben Schritte unternommen, um ähnliche Probleme in der Zukunft zu vermeiden:

  • Wir haben die gesamte Zahlungsabwicklung auf eine separate Subdomain verlegt, die keinen Zugriff auf gespeicherte Anmeldedaten hat.

  • Wir haben die Verwendung von Mustern, die mit ähnlichen Angriffen in Verbindung gebracht werden, in unseren Codierungsrichtlinien verboten.

  • Wir haben diese Schwachstelle während einer regelmäßigen internen Sicherheitsüberprüfung identifiziert. Wir werden auch weiterhin regelmäßig unsere gesamte Code-Basis auf Sicherheitslücken überprüfen.

Sicherheitsüberprüfung

Wir haben nun unsere jüngste Sicherheitsüberprüfung von Tutanota abgeschlossen. Diese Sicherheitsüberprüfung war Teil des Prozesses, die Tutanota-Desktop-Clients aus der Beta-Phase zu entlassen.

Während der Überprüfung wurden keine weiteren schwerwiegenden Probleme gefunden. Wir haben ein paar kleinere Probleme identifiziert, die wir nun beheben werden.

REGISTRIEREN
Author
Top Posts
Bedrohungsmodellierung im Jahr 2024: Ihr Leitfaden für mehr Sicherheit
Die 10 besten privaten E-Mail-Dienste im Jahr 2024
Google zahlt 1150 Mal mehr für sein Suchmonopol als für Lobbyarbeit in der EU und den USA
Warum du einen Passwort-Manager brauchst - und unsere Top 3!
Anonyme E-Mail: Erstelle eine E-Mail-Adresse ohne Handynummer.
Die Illusion der "Schweizer Privatsphäre" ist die beste
Die 10 besten kostenlosen E-Mail-Konten im Jahr 2024
Latest posts
Die Google-Suche ist ein Problem: Wie Google Tuta schadet.
Die XZ-Backdoor und die Bedeutung von Open-Source-Software
Apple lässt Ihnen endlich die Wahl: Nehmen Sie die Chance wahr und installieren Sie jetzt einen privaten Browser!
Die russische Hackergruppe Sandworm ist zurück: Neue Kapeka-Malware infiziert heimlich Systeme seit 2022

Keine Kommentare vorhanden

Account kündigen
Unternehmen
Community
Team
Jobs
AGB
Datenschutz
Impressum
Entwicklung
Changelog
Roadmap
Sicherheit
Verschlüsselung
Open Source
GitHub
Funktionen
Sichere E-Mail
Verschlüsselter Kalender
Business
Support
Forum
Press
Support
Sprache
Deutsch
Übersetzen