Durch eine schwerwiegende Panne stand ein Reseller-Kundenportal von 1&1 sperrangelweit offen. Mit einem beliebigen Passwort bekam man administrativen Zugriff auf Hosting-Pakete und Domains – offenbar sogar auf 1und1.de, gmx.de und web.de. In dem zu 1&1 gehörigen Webhosting-Kundenportal configtools.de klaffte ein schwerwiegendes Sicherheitsloch: Der Dienst hat in etlichen Fällen jedes beliebige Passwort akzeptiert. Da als Login-Name lediglich eine mit dem Kundenkonto verknüpfte Domain eingegeben werden muss, hätte man sich leicht administrativen Zugriff auf unzählige Hosting-Pakete und Domains verschaffen können.
Weiterlesen auf heise.de
Quelle: heise.de