AOL-Hotline verriet Passwörter
Der Name, die Postadresse und die Kontonummer von AOL-Kunden genügten bis vor kurzem, um deren Passwörter herauszubekommen.
Sicherheit geht auf Kosten der Bequemlichkeit. Diese simple Tatsache führt dazu, dass es Online-Dienste potenziellen Eindringlingen oft zu leicht machen. Bei AOL Deutschland genügte es zum Beispiel bis zum vorigen Donnerstag, den User-Namen, die Postanschrift und die letzten vier Ziffern der Kontonummer eines AOL-Nutzers zu wissen, um bei der AOL-Hotline dessen Zugangs-Passwort zu erfragen.
Die erforderlichen Daten gibt man im Internet etwa preis, wenn man bei der Auktions-Plattform ebay ein Produkt versteigert: Die Person, die den Zuschlag erhält, bekommt in der Regel gleich die Kontonummer des Versteigerers serviert. Angreifer konnten sich also bei ebay Fake-Accounts anlegen, Waren ersteigern und bekamen alle zur AOL-Passwort-Abfrage erforderlichen Daten direkt von ebay geliefert.
Am vorigen Donnerstag wurde ein solcher Fall bekannt. Es sei aber kein Missbrauch mit dem gekaperten Account getrieben worden, versicherte AOL-Sprecher Jens Nordlohne heute gegenüber heise online. Man habe sofort eine Reihe von zusätzlichen Sicherheitsmaßnahmen implementiert, unter anderem zusätzliche Sicherheitsfragen. Dennoch rät Nordlohne den AOL-Mitgliedern, bei Online-Auktionen nicht die Hauptadresse anzugeben, sondern einen der Aliasnamen. Über diesen seien bei der AOL-Hotline keine Informationen zu bekommen. (hob)
