Sicherheitslücke in Tutanota behoben
Bei einer unserer regelmäßigen Sicherheitsüberprüfungen haben wir eine XSS-Schwachstelle gefunden, die nun behoben wurde.
Was ist passiert und welche Maßnahmen haben wir ergriffen?
Die Sicherheitslücke wurde bei der Verbesserung des Erscheinungsbildes einer Zwischenseite, die während des 3D-Secure-Einrichtungsprozesses der Kreditkarte angezeigt wird, am 20. Januar eingeführt. Wir haben die Schwachstelle sofort nach ihrer Entdeckung am 25. Februar behoben.
Die Schwachstelle ermöglichte es einem Angreifer, einen bösartigen Link zu erstellen, über den Anmeldedaten abgegriffen werden konnten.
Bis heute sind keine Versuche bekannt, die Sicherheitslücke auszunutzen. Obwohl die Sicherheitslücke auf einer Seite auftrat, die mit Kreditkartenzahlungen zu tun hatte, waren keine Zahlungsdaten abgreifbar.
Muss ich mein Passwort ändern?
Die gefundene Sicherheitslücke konnte nur ausgenutzt werden, weil die Zahlungsabwicklung unter unserer Hauptdomain lief. Dadurch war es durch die Schwachstelle möglich, an Passwörter oder Sitzungsauthentifizierungen im Browser zu gelangen.
Die Sicherheitslücke hätte unter folgenden Umständen ausgenutzt werden können:
-
Wenn Sie zwischen dem 20. Januar und dem 25. Februar 2021 einen Link erhalten und angeklickt haben, der mit https://mail.tutanota.com/braintree.html begann.
-
Falls Sie Ihre Tutanota-Anmeldedaten im Browser gespeichert haben, hätte der Angreifer dann auf Ihr Passwort zugreifen können.
-
Falls Sie im Browser eingeloggt waren, hätte der Angreifer Ihre Sitzungsauthentifizierung nutzen können, um auf Ihr Postfach zuzugreifen, bis Sie sich wieder abgemeldet hätten.
-
Die Schwachstelle konnte auf keinen Fall ausgenutzt werden, wenn Sie Tutanota nur über unsere Desktop-Clients und mobilen Apps nutzen.
Bitte beachten Sie: Die automatische Weiterleitung an unseren Zahlungsabwickler, wenn Sie für Tutanota bezahlt haben, stellte nie eine Sicherheitslücke dar.
Wenn Sie glauben, dass jemand Ihr Passwort in die Hände bekommen haben könnte, ändern Sie bitte Ihr Passwort und aktualisieren Sie Ihren Wiederherstellungscode, beides unter Einstellungen -> Login.
Es ist wichtig, auch Ihren Wiederherstellungscode zu aktualisieren, wenn Sie glauben, dass jemand Ihr Passwort gestohlen hat, denn mit dem Passwort könnte er Ihren Wiederherstellungscode geändert haben, um Ihr Konto zu einem späteren Zeitpunkt böswillig zu übernehmen.
Schritte zur Vermeidung ähnlicher Probleme
Wir haben Schritte unternommen, um ähnliche Probleme in der Zukunft zu vermeiden:
-
Wir haben die gesamte Zahlungsabwicklung auf eine separate Subdomain verlegt, die keinen Zugriff auf gespeicherte Anmeldedaten hat.
-
Wir haben die Verwendung von Mustern, die mit ähnlichen Angriffen in Verbindung gebracht werden, in unseren Codierungsrichtlinien verboten.
-
Wir haben diese Schwachstelle während einer regelmäßigen internen Sicherheitsüberprüfung identifiziert. Wir werden auch weiterhin regelmäßig unsere gesamte Code-Basis auf Sicherheitslücken überprüfen.
Sicherheitsüberprüfung
Wir haben nun unsere jüngste Sicherheitsüberprüfung von Tutanota abgeschlossen. Diese Sicherheitsüberprüfung war Teil des Prozesses, die Tutanota-Desktop-Clients aus der Beta-Phase zu entlassen.
Während der Überprüfung wurden keine weiteren schwerwiegenden Probleme gefunden. Wir haben ein paar kleinere Probleme identifiziert, die wir nun beheben werden.