Security: Gmail Filter und Umleitungen überprüfen

Als ich vor kurzem meine Newsfeeds aufgeräumt habe wurde ich stutzig als der RSS-Feed von David Airey plötzlich nicht mehr funktionieren sollte. Ich rief die Seite auf, und wurde auf einen Domaingrabber weitergeleitet.

Ich wurde stutzig, wieso sollte David  seine gut besuchte Webseite einfach so aufgeben? Eine kurze Anfrage bei Google bringt mir einen Beitrag bei Blogging Tom.

David hat kurz vor seinen Ferien geschrieben, dass er einige Tage offline sein wird. Das war offensichtlich ein Fehler.

Scheinbar hat ein Hacker Davids Gmail-Account mit einigen Filterregeln und Weiterleitungen präpariert, um die Domain übernehmen zu können. Die angekündeten Ferien waren also quasi der Startschuss für den Hijack.

Eine ausführliche Beschreibung über den Hergang des Domain Hijacks findet man bei David (welcher unterdessen die Domain gewechselt hat und unter davidairey.co.uk erreichbar ist). Dem Hacker war es also möglich, während der Auszeit von David die Domain ohne Probleme im Nahmen von David zu kidnappen, ohne das David innert nützlicher Frist agieren kann.

Spannend ist auch, dass der Hacker seine Tat sehr weit im Voraus geplant hat, da die Sicherheitslücke bereits im ende September 2007  geschlossen wurde.

Wer Gmail sehr aktiv nutzt sollte unbedingt die Weiterleitungen und Filterregeln überprüfen. Der Account kann auch ohne nach dem Schliessen der Sicherheitslücke betroffen sein. Die Sicherheitslücke beinhaltete lediglich die Möglichkeit von externen Seiten Weiterleitungen und Filterregeln zu definieren. Ein manipuliertes Konto behält die ungewollten Filterregeln und Weiterleitungen auch nach dem Sicherheitsfix aktiv.