Fehler im Newsletter-Formular: Bundesministerium ermöglicht Phishing und Spam Mails

Internet-Betrüger und Cyber-Kriminelle lauern überall im Web. Dass aber ausgerechnet User, die sich für den Newsletter des Bundesministeriums für Familie, Senioren, Frauen und Jugend anmelden möchten, einer erhöhten Phishing- und Spam-Gefahr ausgesetzt sind, hätten die wenigsten erwartet. Das Investigativ-Team des Online-Portals c’t Magazin fand genau das allerdings nun heraus. Die Recherche ergab, dass Cyber-Kriminelle, die sich auf Spam und Phishing Mails spezialisiert haben, seit 2017 über einen bei einem externen Dienstleister gehosteten Webserver des Ministeriums gefährliche Inhalte in die E-Mails der Institution einschleusen konnten. Möglich war dies, weil User-Angaben ohne Überprüfung in den Verifizierungs-Mails der angegebenen E-Mail-Adressen übernommen wurden. Zu den Opfern könnten alle User zählen, die sich für den Newsletter angemeldet haben.

Aufmerksam wurde das c’t Magazin auf diese Sicherheitslücke, weil am 2.8.2020 über einen Zeitraum von zwölf Stunden Spam Mails über den Webserver des Bundesministeriums verschickt wurden. Obwohl die Administratoren auf diesen Umstand aufmerksam gemacht wurden, wurden nur einige IP-Adressen gesperrt und die Mail-Queue geleert. Wie das Bundesministerium künftig das Newsletter-Formular sicherer machen will, ist bis dato nicht bekannt.

Bundesministeriums-Website ermöglichte Spam und Phishing