Lekken in webmail

Begin juni kwam internetaanbieder Chello in het nieuws, omdat het via de webmail van de provider mogelijk was om andermans mail naar jezelf te laten doorsturen. Door een mailtje met een speciaal gevormde html-tag naar een Chello-abonnee te sturen, was het mogelijk om de gebruikersinstellingen van het slachtoffer aan te passen. Chello dichtte het lek en deed aangifte.

Probleem opgelost. Althans, zo leek het. De kabelaanbieder bleek de problemen namelijk niet goed te hebben verholpen. Via een nieuwe exploit bleek het nog steeds mogelijk om mailtjes van andere gebruikers te onderscheppen.

In juli nam Chello daarom nieuwe maatregelen. “We nemen dit probleem hoog op”, aldus Ronald van der Aart, woordvoerder van Chello, destijds. “Het is de tweede keer in korte tijd dat we een probleem hebben met onze webmail. We hebben de leverancier van de webmail daarom om aanvullende garanties verzocht. De webmailapplicatie moet gewoon veilig zijn. Klaar.” De leverancier was volgens Van der Aart niet op de hoogte van het probleem. “Ook de leverancier was onaangenaam verrast.”

Eind goed, al goed? Toch niet. Want ook de nieuwe pleister van Chello blijkt het lek niet goed te hebben gedicht. De Chello webmail blijkt namelijk nog altijd onvoldoende bescherming te bieden tegen zogeheten cross site scripting exploits. Door vanuit een mailtje een script van een server op te halen, is het nog steeds mogelijk om de instellingen van Chello aan te passen.

WebWereld heeft Chello hiervan een week voor publicatie van dit artikel op de hoogte gesteld. Op het moment van schrijven had Chello nog niet laten weten of er maatregelen waren genomen om misbruik van het lek te voorkomen.

Joost Tonino

De webmailproblemen bij Chello staan niet op zichzelf, zo blijkt uit onderzoek van beveiligingsexpert Martijn Brinkers. Brinkers kwam eind juni in het nieuws omdat hij een lek in de webmail van Yahoo had ontdekt.

Na de ontdekking van het lek in de webmail van Yahoo deed de beveiligingsdeskundige onderzoek naar de webmailsystemen van een groot aantal Nederlandse providers. Hij ontdekte dat de beveiliging in veel gevallen te wensen overlaat. Behalve Chello hebben ook Planet Internet, Tiscali, Zonnet, Wanadoo, 12Move, Freemail en RaketNet te kampen met veiligheidsproblemen in hun webmail.

Met name het geval van Zonnet is pikant. Zonnet is de provider van de vorige week opgestapte officier van justitie Joost Tonino. Tonino besloot zijn functie als officier van justitie neer te leggen, nadat iemand er in was geslaagd om zijn mailbox bij Zonnet binnen te dringen. Hoe de mailbox van Tonino is gekraakt, is onduidelijk, maar één van de – theoretische – mogelijkheden is dat de inbreker misbruik heeft gemaakt van een lek in het webmailsysteem van Zonnet.

Op het moment dat de mailbox van Tonino werd gekraakt, zat er namelijk een lek in het webmailsysteem van Zonnet. “Zonnet maakt op zichzelf gebruik van een goede e-mailomgeving”, stelt Brinkers. “Het systeem moet echter wel up-to-date worden gehouden en dat was bij Zonnet niet het geval.’

Zonnet laat bij monde van woordvoerster Anoeska van Leeuwen weten het lek inmiddels te hebben gedicht. Volgens Brinkers zijn de problemen echter nog niet opgelost. ‘Het is nog altijd mogelijk om het forward-adres van een gebruiker van de webmail van Zonnet aan te passen.’

Bevestigingsmailtje

De lekken waren niet bij alle providers hetzelfde. Wel was het in alle gevallen mogelijk om (een deel van) andermans e-mailberichten te lezen zonder dat het slachtoffer daar toestemming voor had gegeven. In drie gevallen (Ilse, Wanadoo en Lycos) was het zelfs mogelijk om het e-mailadres van iemand ‘over te nemen’ en de oorspronkelijke eigenaar buiten te sluiten, zo stelt Brinkers.

De beveiligingsdeskundige heeft bij de providers aan de bel getrokken over de problemen, maar in veel gevallen zonder resultaat. Mails over de veiligheidsproblemen werden soms compleet genegeerd. Lycos, Raketnet en Tiscali reageerden bijvoorbeeld niet op het bericht van Brinkers dat hij een veiligheidslek in hun webmail had aangetroffen. Van Ilse kreeg hij alleen een bevestigingsmailtje. Verdere actie ondernam het bedrijf niet.

Ook de webmailaanbieders die wel reageerden, namen geen adequate maatregelen. In sommige gevallen sleutelden de providers wel wat aan hun webmail, maar zonder het probleem definitief op te lossen. Het gevolg was dat de gaten vorige week (in sommige gevallen maanden na de eerste melding) bij geen van de aangeschreven providers waren gedicht.

Brinkers hekelt de lakse manier waarop de providers omgaan met de beveiliging van hun webmail. “Het was vaak lastig om uit te vinden met wie ik contact moest opnemen en als ik eenmaal een contactpersoon had gevonden, werd er vaak niet serieus naar het probleem gekeken.”

“Ik denk dat ze geen duidelijke protocollen hebben wat te doen bij dit soort meldingen”, vermoedt Brinkers. “Het zou makkelijker moeten zijn om snel het juiste contactadres te vinden waar je beveiligingsgerelateerde meldingen naartoe kunt sturen.”

Heilig goed

WebWereld heeft alle getroffen providers vorige week nogmaals ingelicht over de veiligheidsproblemen in hun webmail. Voor de meeste webmailaanbieders was dit wel reden om in actie te komen. En om te benadrukken dat ze de veiligheid van webmail wel degelijk serieus nemen.

“Veiligheid is een belangrijk issue voor ons, ook voor de gratis accounts”, zegt Wilco Dijkstra van Concepts ICT (verantwoordelijk voor RaketNet) bijvoorbeeld. “Dit lek had er niet in mogen zitten. Gebruikersgegevens zijn een heilig goed voor ons”, reageert Michiel Houben van Ilse Media.

“Het is heel moeilijk om op basis van html-mail absolute veiligheid te garanderen”, verklaart John van Vroenhoven (Lycos) de problemen. Beveiligingsdeskundige Brinkers bevestigt dat. “Het maken van een veilige webmailapplicatie is erg moeilijk, voornamelijk omdat de mail naast tekst ook html kan bevatten. Een probleem hierbij is dat html ook ‘gevaarlijke’ elementen kan bevatten zoals javascript.”

“Het kan daardoor gebeuren dat de javascript uit een mailtje wordt uitgevoerd in de webbrowser van de gebruiker. Een ‘aanvaller’ kan dat misbruiken door bepaalde handelingen, die een gebruiker normaalgesproken handmatig moet doen, automatisch en vaak onzichtbaar te laten uitvoeren. Op die manier is het bijvoorbeeld mogelijk om het forward-adres aan te passen.”

Brinkers pleit ervoor dat webmailgebruikers nogmaals hun wachtwoord moeten invullen als zij hun instellingen (bijvoorbeeld voor het doorsturen van mail) willen aanpassen. Nu ontbreekt die extra wachtwoordcontrole nog bij veel providers. “Ik heb nooit gesnapt waarom providers die extra zekerheid niet inbouwen. Het gaat nauwelijks ten koste van het gebruiksgemak. Het veranderen van een forward-adres in je webmail is nou niet bepaald een handeling is die je dagelijks moet doen.”

Lycos en Ilse zijn op het moment van schrijven de enige webmailaanbieders die deze wijze raad van Brinkers ter harte hebben genomen. Zij zijn er dan ook het beste in geslaagd om Brinkers’ exploit (truc om het lek te ‘misbruiken’) onschadelijk te maken. Bij de andere webmailaanbieders was het op moment van schrijven nog steeds mogelijk om met behulp van Brinkers’ (licht gewijzigde) exploits andermans mail te lezen.

Misbruik

Of kwaadwillenden de door Brinkers ontdekte lekken hebben misbruikt, is moeilijk vast te stellen. De meeste gebruikers van webmail zullen bijvoorbeeld niet regelmatig hun mailvoorkeuren controleren om zich ervan te vergewissen dat niemand anders hun forward-adres heeft ingevuld of veranderd. Veel providers benadrukken dat zij geen meldingen hebben gekregen van misbruik van de door Brinkers ontdekte lekken.

Zonnet benadrukt dat het sowieso weinig gebeurt dat abonnees klagen over e-mailmisbruik. ‘Het gaat in dat soort gevallen bijna altijd om echtscheidingsgevallen waarbij de ex-partners nog beschikken over de inloggegevens van de partner met alle gevolgen van dien’, aldus woordvoerster Van Leeuwen.

Tiscali gaat ervan uit dat maar weinig mensen voldoende kennis hebben om de webmail te kraken. ‘Het moge duidelijk zijn dat slechts een handjevol individuen de technische know-how heeft om deze, uiteindelijk zeer illegale, inbreuken op de veiligheid van het internet te doen’, meent Wander Bruijel, woordvoerder van Tiscali.

Brinkers bestrijdt dat. “Ik denk dat er voldoende personen zijn die misbruik kunnen maken van deze ‘lekken’. Je moet wel een goede kennis hebben van webauthenticatie en de onderliggende technieken, maar een ervaren webapplicatiebouwer hoort over deze kennis te beschikken.’