Bij tien Nederlandse internetaanbieders, waaronder Chello, Planet en Tiscali, is het mogelijk (geweest) om andermans e-mail te lezen.
Ook Zonnet, Wanadoo, 12Move, Freemail en RaketNet hebben te kampen met lekken in hun webmailsysteem, waardoor kwaadwillenden andermans mail kunnen lezen. Dit blijkt uit onderzoek van beveiligingsdeskundige Martijn Brinkers. Ilse en Lycos hadden vergelijkbare problemen op het moment van schrijven provisorisch verholpen.
Brinkers kwam eind juni in het nieuws omdat hij een lek in de webmail van Yahoo had ontdekt. De afgelopen maanden stelde de beveiligingsexpert vast dat ook veel Nederlandse webmailaanbieders problemen hebben met hun beveiliging.
Door een geprepareerd mailtje naar een webmailgebruiker te sturen bleek het bijvoorbeeld bij vijf providers mogelijk om een kopie van de binnenkomende mail te laten doorsturen naar een ander adres.
Ook was het in sommige gevallen mogelijk om het wachtwoord van een webmailgebruiker te achterhalen. In drie gevallen bleek het zelfs mogelijk om de e-mail van een webmailgebruiker compleet over te nemen en de oorspronkelijke gebruiker buiten te sluiten.
Contact
Brinkers heeft de afgelopen maanden alle genoemde providers geïnformeerd over de veiligheidslekken in hun webmail. Echter zonder het gewenste resultaat. Vorige week bleek het nog bij alle internetaanbieders mogelijk om van de door Brinkers geconstateerde lekken misbruik te maken.
Vier webmailaanbieders (Tiscali, Lycos, Ilse en RaketNet) reageerden niet op de waarschuwing die Brinkers via een e-mailbericht of een webformulier stuurde. De andere providers reageerden wel op de waarschuwing, maar losten de problemen uiteindelijk niet goed op.
WebWereld heeft daarom vorige week opnieuw contact opgenomen met de tien providers. Voor de meeste webmailaanbieders was de melding van WebWereld wél reden om in actie te komen. Met uitzondering van Chello hadden alle providers dinsdagmiddag laten weten dat ze maatregelen hadden genomen tegen de ontdekte lekken.
Exploit
In geen van de gevallen was de oplossing echter compleet waterdicht, zo stelde Brinkers dinsdagavond vast. Lycos en Ilse zijn er als enige in geslaagd om de lont uit zijn oorspronkelijke exploit (truc om het lek te ‘misbruiken’) te halen, al is de oplossing nog verre van perfect.
Bij Tiscali en 12Move blijkt Brinkers’ exploit nog zonder problemen te werken. Bij de andere providers kon de beveiligingsexpert de genomen maatregelen eenvoudig omzeilen door zijn exploit iets aan te passen.
Bij RaketNet werkte de exploit dinsdagavond ook nog, zo ontdekte Brinkers. De maatregelen van de provider hebben er wel toe geleid dat gebruikers van de webmail niet meer zelf kunnen bepalen naar welk adres ze hun e-mailberichten eventueel willen laten doorsturen. Het zogeheten ‘forward-adres’ aanpassen, kan nu alleen nog maar met behulp van Brinkers’ exploit.