GMX – Deine Daten sind kein Geheimnis

GMX und web.de gehören im deutschsprachigen Raum zu den größten Freemail Anbietern überhaupt. Wieviele Deutsche genau einen E-Mail Account bei United Internet bzw. deren Marken web.de oder GMX besitzen ist nicht bekannt. In den Geschäftspräsentationen werden aber die Anzahl der (eindeutigen) Besucher mit einer Anzahl von 24,27 Mio. pro Monat angegeben. Bei fast 82 Mio. Bundesbürgern dürften davon wohl 20% die Seiten von GMX oder web.de regelmäßig besuchen, und davon wiederum viele deren kostenlose E-Mail Services nutzen. Doch wie sorgsam geht United Internet mit diesen Daten um?

Falsche Sicherheiten

Auf der Startseite von GMX wird der Login mit SSL angeboten. Fälschlicherweise könnte man hier vermuten, dass die ganze Session verschlüsselt ist. Fehlanzeige.

GMX - SSL-Login
GMX - SSL-Login

Nach dem Login stellt man mit Überraschung fest, das die URL kein https mehr vorangestellt hat! Der erste Blick in den Datenverkehr mittels Wireshark lässt aber einen weiterhin verschlüsselten Datenverkehr vermuten. Doch nach dem Ausschalten der gzip-Funktion im Browser ist klar: Wahrscheinlich aus Performacegründen wird auf eine voll verschlüsselte und damit sichere Session verzichtet. Statt dessen ist nur die Übermittlung von Benutzername und Passwort gesichert (siehe Abb. GMX –  SSL-Login).

Danach geht also die gesamte Session ungesichert weiter. Das heißt im Klartext: Alle jetzt abgerufenen oder angeschauten E-Mails werden im Klartext durch das Internet übertragen.

Alles was der Werbepartner wissen sollte

Als ob das nicht schon genug wäre, GMX setzt für die zielgruppengerichtete Werbung diverse Skripte ein. Für Datensammler wird GMX so geradezu zum perfekte Datenlieferant.

Die JavaScript Funktion LLModSwitchSrc gibt z.B. persönlichen Daten in großem Stil an den United Internet Adserver weiter. In der Kommunikation vom Client zu GMX ebenfalls unverschlüsselt.

<script type="text/javascript">
function LLModSwitchSrc(val){
	var isrc = "https://adimg.uimserv.net/lmod/lmodad.html?";
	var cd = "firstname=Dagobert&amp;lastname=Duck&amp;title=Herr&amp;birthday=18.08.1950&amp;countryiso=DE&amp;zipcity=10001..Berlin&amp;street=Sonnenweg 14&amp;phone=&amp;email=DagobertDuck@gmx.net&amp;cno=1234567";
	var dataencoded = encodeURI(decodeAmp(cd + "&amp;tpId=" + val.tpId + "&amp;coregId=" + val.coregId));
	var newsrc = isrc + dataencoded;
	$("#llmodiframe").attr("src",newsrc);
}
</script>

Klar zu erkennen sind die Daten Vorname, Name, Geschlecht, Geburtstagsdatum, Postleitzahl, Ort, Straße, Telefon, E-Mail und Kundennummer (zum Schutz der betroffenen Person, wurden die Daten geändert).

Gemeint ist hier nicht der Aufruf des Skripts ansich, obwohl der sicher auch eine Diskussion wert ist (welche Daten an welche Werbepartner weitergegeben?!), sondern das so persönliche Daten ebenfalls unverschlüsselt in der Client-Server Kommunikation übertragen werden.

Zusammenfassung

Bei GMX und vermutlich auch bei weiteren Marken der United Internet AG scheint man auf Übertragungssicherheit keinen Wert zu legen. Dem Benutzer wird mit dem Link auf einen Login ohne SSL neben dem Benutzername und Passwort suggeriert, dass er sich hier sicher einloggt. Die komplette Session läuft dann aber im Klartext.

Der Gipfel ist aber, dass persönliche Daten wie Geburtsdatum und die komplette Adresse ebenfalls ungesichert übertragen werden. Obwohl sich das ganze Dilema durch eine komplette Verschlüsselung der Seiten innerhalb der Session vermeiden ließe.

6 Comments

  1. „Alle jetzt abgerufenen oder angeschauten E-Mails werden im Klartext durch das Internet übertragen.“

    Angesichts der Tatsache, dass diese E-Mails in aller Wahrscheinlichkeit auch auf dem weg vom Absender zum mailserver von gmx im Klartext durch das Internet übertragen wurden, finde ich das nur mittel aufregend.

    Auch bei google ist ja eine https-Verbindung fuer webmail erst vor ein paar Wochen zum standard geworden http://gmailblog.blogspot.com/2010/01/default-https-access-for-gmail.html

    Wem die Vertraulichkeit seiner E-Mails wichtig ist, der ist mit Verschluesselung nach Art von http://getfiregpg.org/ wohl besser beraten, als mit so einem https-Feigenblatt.

    Dass da so schlampig mit den anderen Daten umgegangen wird, ist schon eher eine Meldung wert. Und mal wieder ein Grund, beim Registrieren fuer solche Dienste Datensparsamkeit walten zu lassen, zur Not durch eingabe von erfundenem Geburtsdatum, Adresse, usw.

  2. Also bei Golem.de wird ein Firmensprecher zitiert mit: „Derzeit haben wir keinen verschlüsselten Webdienst bei GMX im Freemailbereich.“ aufgrund der Aussage und mehreren Berichten in Foren gehe ich davon aus, dass GMX Pro davon nicht betroffen ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst diese HTML-Tags und -Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>