@hodlcoins
Es scheint um die Rücksetzen Funktion an sich zu gehen, nicht speziell um eine der Möglichkeinten.
Mal anders gefragt: Wurde bis jetzt ein Konto ohne aktive Rücksetzfunktion übernommen?
@Akka
Eine SMS habe ich auch nie erhalten.
Topic: GMX Accounts können gehackt werden? - page 6. (Read 17803 times)
@akka/yxt
Das ist ja jetzt etwas inkonsistent.
Einerseits wurde das Konto übernommen ohne das eine Nummer hinterlegt war, andererseits hat man es sofort gekapert als eine drin war.
Oder war noch eine andere Option aktiv?
Am SMS-Gateway scheints ja nicht zu liegen...
Da bleibt ja nur noch, das jemand den Link (und evtl. Tokens o.ä.) in der Passwort-Zurücksetzen-Mail erraten kann und so vortäuscht, der Empfänger eben dieser Mail zu sein.
Ich habe mich mittlerweile auch mal bei gmx angemeldet und mir die Seite mit Passwort Reset angesehen.Das ist ja jetzt etwas inkonsistent.
Einerseits wurde das Konto übernommen ohne das eine Nummer hinterlegt war, andererseits hat man es sofort gekapert als eine drin war.
Oder war noch eine andere Option aktiv?
Am SMS-Gateway scheints ja nicht zu liegen...
Da bleibt ja nur noch, das jemand den Link (und evtl. Tokens o.ä.) in der Passwort-Zurücksetzen-Mail erraten kann und so vortäuscht, der Empfänger eben dieser Mail zu sein.
Könnte ganz simpel sein, dass sich das Token für's Rücksetzen direkt aus dem Token in der Reset-Seite errechnen lässt.
Aber das ist wahrscheinlich zu einfach gedacht.
@akka/yxt
Das ist ja jetzt etwas inkonsistent.
Einerseits wurde das Konto übernommen ohne das eine Nummer hinterlegt war, andererseits hat man es sofort gekapert als eine drin war.
Oder war noch eine andere Option aktiv?
Am SMS-Gateway scheints ja nicht zu liegen...
Da bleibt ja nur noch, das jemand den Link (und evtl. Tokens o.ä.) in der Passwort-Zurücksetzen-Mail erraten kann und so vortäuscht, der Empfänger eben dieser Mail zu sein.
Das ist ja jetzt etwas inkonsistent.
Einerseits wurde das Konto übernommen ohne das eine Nummer hinterlegt war, andererseits hat man es sofort gekapert als eine drin war.
Oder war noch eine andere Option aktiv?
Am SMS-Gateway scheints ja nicht zu liegen...
Da bleibt ja nur noch, das jemand den Link (und evtl. Tokens o.ä.) in der Passwort-Zurücksetzen-Mail erraten kann und so vortäuscht, der Empfänger eben dieser Mail zu sein.
Dar Hacker behauptet jedes Konto übernehmen zu können sobald irgendeine Wiederherstellungsmöglichkeit aktiviert ist.
Ist so noch in OM's die ich habe:
Quote
It can reset pass to any email that is @gmx.net @gmx.de @gmx.ch @gmx.at, the email that you take must have a recovery option for it to work like a phone or email
give me an email and ill attempt to take it to prove it
give me an email and ill attempt to take it to prove it
Scheint also zu reichen wenn er auf die "Passwort vergessen" Seite der Adresse kommt. Denke dort ist irgendwo die Schwachstelle.
Edit: Eine Passwort zurücksetzen Mail habe ich nie erhalten, er hat mein Konto definitiv übernommen ohne dass diese Mail (an mich) geschickt wurde.
@akka/yxt
Das ist ja jetzt etwas inkonsistent.
Einerseits wurde das Konto übernommen ohne das eine Nummer hinterlegt war, andererseits hat man es sofort gekapert als eine drin war.
Oder war noch eine andere Option aktiv?
Am SMS-Gateway scheints ja nicht zu liegen...
Da bleibt ja nur noch, das jemand den Link (und evtl. Tokens o.ä.) in der Passwort-Zurücksetzen-Mail erraten kann und so vortäuscht, der Empfänger eben dieser Mail zu sein.
Das ist ja jetzt etwas inkonsistent.
Einerseits wurde das Konto übernommen ohne das eine Nummer hinterlegt war, andererseits hat man es sofort gekapert als eine drin war.
Oder war noch eine andere Option aktiv?
Am SMS-Gateway scheints ja nicht zu liegen...
Da bleibt ja nur noch, das jemand den Link (und evtl. Tokens o.ä.) in der Passwort-Zurücksetzen-Mail erraten kann und so vortäuscht, der Empfänger eben dieser Mail zu sein.
Bei mir war keine Telefonnnummer hinterlegt, als der GMX-Account gehackt wurde.
Hat definitiv mit der PSW-Rücksetzten Funktion zu tun.
Hab vor ein paar Tagen spaßenshalber mal eine Nummer hinterlegt,
am gleichen Tag war das psw schon geändert.
Nur lässt sich die Funktion nun wohl nicht mehr komplett deaktivieren.
Hab vor ein paar Tagen spaßenshalber mal eine Nummer hinterlegt,
am gleichen Tag war das psw schon geändert.
Nur lässt sich die Funktion nun wohl nicht mehr komplett deaktivieren.
Habt ihr die Lücke über die Adresse "[email protected]" gemeldet?
abuse@ ist üblicherweise für's Melden von Spam da, also "nicht zuständig".Noch mal ein kleiner Gedankengang, könnte es nicht einfach so sein, dass das SMS-Gateway kompromittiert ist, das GMX verwendet?
Dann ließen sich ggf. Passwörter mittels SMS rücksetzen, ohne dass GMX selbst direkt ein Sicherheitsproblem haben muss.
GMX hat meine Nummer gar nicht. Diese Option existierte bei mir überhaupt nicht. Ausschliesslich das Rücksetzten per Mail.
Habt ihr die Lücke über die Adresse "[email protected]" gemeldet?
abuse@ ist üblicherweise für's Melden von Spam da, also "nicht zuständig".Noch mal ein kleiner Gedankengang, könnte es nicht einfach so sein, dass das SMS-Gateway kompromittiert ist, das GMX verwendet?
Dann ließen sich ggf. Passwörter mittels SMS rücksetzen, ohne dass GMX selbst direkt ein Sicherheitsproblem haben muss.
Selbst das Passwort zurücksetzen über mein iPhone und einer Datenverbindung über das Mobilfunknetz hätte er nicht rauskriegen können. Es wird eindeutig hier am Fehlerhaften GMX System liegen.
Und du bist dir sicher, das alle deine Zugriffe auf das GMX-Konto seit dem Zurückerobern auf sauberen Maschinen waren?
Ich mein, ein doppelt gekapertes Konto sollte eigentlich auch verbrannt sein, weil der Hacker weiß, das du es weißt.
Ich mein, ein doppelt gekapertes Konto sollte eigentlich auch verbrannt sein, weil der Hacker weiß, das du es weißt.
Mein GMX Account wurde die Nacht wieder gehackt. Werde den Account demnächst stilllegen.
Offenbar hilft keine Maßnahme und GMX tut nichts.
Offenbar hilft keine Maßnahme und GMX tut nichts.
I asked someone 'in the know' about the potential exploit via email. He said I can quote him, but anon.
answer:
EDIT: so... header tampering, hmmm....
EDIT2: HMMMM!! https://bugscollector.com/tricks/13/
EDIT3: naah, that's not it. requires victim to click link in reset email
answer:
Quote
There's definitely a known attack vector that can be achieved through
what's called "header tampering"... For $5 you can get almost anyone
black hat to help you do it on a variety of forums, eg.
http://www.hackforums.net/showthread.php?tid=4502984
For some reason, GMX don't seem to have patched this exploit so it's
still out there in the wild. For that reason I don't use GMX and advise
nobody else to.
what's called "header tampering"... For $5 you can get almost anyone
black hat to help you do it on a variety of forums, eg.
http://www.hackforums.net/showthread.php?tid=4502984
For some reason, GMX don't seem to have patched this exploit so it's
still out there in the wild. For that reason I don't use GMX and advise
nobody else to.
EDIT: so... header tampering, hmmm....
EDIT2: HMMMM!! https://bugscollector.com/tricks/13/
EDIT3: naah, that's not it. requires victim to click link in reset email
Also die IP kommt von den ganzen Diensten wo er auf "Passwort vergessen" geklickt hat.. GMX selbst gibt ja gar nix raus! Die Telefonnummer hatte er dann selber gesetzt für die Passwort-Vergessen-Option! Daher auch die Sternchen ( habs verpeilt die komplette Nummer nochmal zu speichern bevor ich wieder meine Nummer hergestellt hatte )
Mal in's Blaue geraten:kann es sein, dass der Angreifer auf die Passwort-Vergessen-Option geht, und dort dann irgendwie auswählen kann, dass er auch die Email vergessen hat, und dann irgendwo einen link/POST verändern kann, der ihm erlaubt, die Telefonnummer gleich neu zu setzen?
irgendwie sowas ähnliches wird es sein. Hab da bisschen rumprobiert und sourcen angeschaut... viele tokens und kram. Nix gefunden.
Hatte auch gehofft der schickt vielleicht irgendwie die reset-email durch's frontend oder irgendwas bescheuertes. Aber wie gesagt... ist auch nicht meine Aufgabe gmx die Löcher zu stopfen, das soll der neue "Head of Mail Security" von 1+1 machen.
Aber tu dir keinen Zwang an... kann ja jeder ausprobieren.
Also die IP kommt von den ganzen Diensten wo er auf "Passwort vergessen" geklickt hat.. GMX selbst gibt ja gar nix raus! Die Telefonnummer hatte er dann selber gesetzt für die Passwort-Vergessen-Option! Daher auch die Sternchen ( habs verpeilt die komplette Nummer nochmal zu speichern bevor ich wieder meine Nummer hergestellt hatte )
Mal in's Blaue geraten:kann es sein, dass der Angreifer auf die Passwort-Vergessen-Option geht, und dort dann irgendwie auswählen kann, dass er auch die Email vergessen hat, und dann irgendwo einen link/POST verändern kann, der ihm erlaubt, die Telefonnummer gleich neu zu setzen?
@molecular: hast du den Spiegel Redakteur von damals bereits kontaktiert?
Ist im Urlaub bis 12.1.
Der andere (kenn noch einen aus Prag) hat nicht geantwortet.
Wenn noch nichtmal Heise Security und Konsorten davon melden, wird der Spiegel wohl kaum berichten.
Vielleicht könnte man die auch mal informieren. Evtl. den Artikel schreiben?
@molecular: hast du den Spiegel Redakteur von damals bereits kontaktiert?
Ist im Urlaub bis 12.1.
Der andere (kenn noch einen aus Prag) hat nicht geantwortet.
Wenn noch nichtmal Heise Security und Konsorten davon melden, wird der Spiegel wohl kaum berichten.
wie kann ich denn 'SSL im browser aktivieren'?
Ich geh auf http://httpS://gmx.net und werde auf http redirected
ja es ist wichtig, genau diese Adresse zu nehmen:Ich geh auf http://httpS://gmx.net und werde auf http redirected
https://www.gmx.net ( mit s, www und net )
aber ich kann ein bisschen Entwarnung geben: Der Quellcode der unverschlüsselten Seite sieht so aus:
Code:
der Formularinhalt wird also an https gesendet!
na immerhin. Danke für den tipp mit "www." (wtf?!?)
@molecular: hast du den Spiegel Redakteur von damals bereits kontaktiert?
Ist im Urlaub bis 12.1.
Der andere (kenn noch einen aus Prag) hat nicht geantwortet.
wie kann ich denn 'SSL im browser aktivieren'?
Ich geh auf http://httpS://gmx.net und werde auf http redirected
ja es ist wichtig, genau diese Adresse zu nehmen:Ich geh auf http://httpS://gmx.net und werde auf http redirected
https://www.gmx.net ( mit s, www und net )
aber ich kann ein bisschen Entwarnung geben: Der Quellcode der unverschlüsselten Seite sieht so aus:
Code:
der Formularinhalt wird also an https gesendet!
@molecular: hast du den Spiegel Redakteur von damals bereits kontaktiert?
Jump to: