Um das abzuschließen, es handelte sich um einen bestehenden Account, der seit Jahren bezahlt wird.
Es gibt hier im Forum, inkl. @kuketzblog, sicher viele Mailbox.org-Kunden. Habt ihr Informationen zu Post-Incident-Maßnahmen? Oder habt ihr euch Gedanken dazu gemacht wie ihr reagiert?
Der Angriff oben ist sehr simpel und hebelt innerhalb von Minuten 2FA aus. Es gibt auch noch andere Möglichkeiten.
Zu einem guten Sicherheitskonzept gehört eben neben Prävention auch ein Notfallplan.
Diese Disziplin beherrscht MBO normalerweise perfekt. Wenngleich mein Account (warum auch immer) das oben geschilderte Angriffsszenario nicht erlaubt, bleibe ich weiterhin dran am Thema.
Soeben bemerkt: Offenbar wird die E-Mail für den Passwort-Reset nicht zugestellt. 
In der Knowledge-Base steht:
Wenn Sie keine Daten hinterlegt haben, aber noch ein E-Mail-Client Zugang zum Konto hat, können Sie hier den Passwortreset über die eigene Adresse auslösen.
Bedeutet das im Umkehrschluss nicht, dass diese Option wegfällt, sobald man eine Handynummer, eine alternative Adresse oder ein Telefonpasswort angegeben hat?
Eine „alternative E-Mail-Adresse“ habe ich selbstverständlich definiert. Bislang ist dort aber keine E-Mail (Passwort-Reset) eingegangen.
(Telefonpasswort = Nein)
Darum geht es mir nicht.
Ich verstehe den von mir zitierten Knowledge-Base-Hinweis so, dass diese 4. Möglichkeit, also das Recovery-Passwort an die eigenene Mailbox-Adresse schicken zu lassen, wegfällt, sobald man eine Telefonnummer, alternative Mailadresse oder Telefonpasswort hinterlegt.
Deswegen taucht die Option bei Dir vielleicht nicht auf. Wenn sich das bestätigen ließe, wäre das hier im Thread angesprochene Problem m.E. gar keins.
Falls ich mich irre und diese 4. Möglichkeit immer besteht, sollte man das gegenüber MBO direkt ansprechen. Das fände ich dann auch nicht gut.
Warum du keine Nachricht an deine alternative Adresse bekommst, weiß ich nicht.
Nein, ich habe soeben erfolgreich Resetcodes an meine angegebene Alternativadresse und in einem zweiten Anlauf an meine mailbox.org Adresse verschickt.
Im Dialog zum Passwort-Reset habe ich die Wahl zwischen beiden Adressen.
Das liegt, wie bereits oben geschrieben, an der Teilnahme am Beta-Programm. (https://mailbox.org/de/post/beta-programm-startet)
Same here.
Also …
Welche Möglichkeiten gibt es, um wieder zum Thema zurückzukehren, wenn man ausgesperrt ist?
Diese „Auswahl“ stellt mir mein Account (warum auch immer) nicht zur Verfügung.
Diese Frage ist direkt an MBO zu richten (ggf. per Support-Ticket).
Du hattest gesagt, dass Du am Beta-Programm teilnimmst. Ich habe das daraufhin getestet und bei Teilnahme am Beta-Programm (Keycloack-SSO) gibt es die Option bei eingeschaltetem 2FA nicht. Das hatten wir doch schon.
Die Formulierung war für mich nicht eindeutig. Sorry, Missverständnis.
Tatsächlich. Habs gerade ausprobiert. Dann finde ich den Knowledge-Base -Text etwas missverständlich formuliert. Würde mich auch interessieren, was MBO dazu sagt.
So, ich habe jetzt meinen MBO-Account auf Beta umgestellt. Hier wird man von der „normalen“ Loginseite auf eine andere Login-URL weitergeleitet und, nach Eingabe der Zugangsdaten, nach dem TOTP gefragt (das bisherige Konstrukt das Passwort für das Webinterface durch einen 10-stelligen Zahlencode bestehend aus 4 Stellen PIN und 6 Stellen OTP entfällt). Wenn ich jetzt eine Passwort-Recovery anfrage, wird nur noch meine Alternativ-Adresse als mögliches Ziel angeboten. Entferne ich die alternative Adresse wird mir keine Option zum Empfang des Recovery-Codes mehr angeboten. So macht 2FA natürlich deutlich mehr Sinn.
Bei mir (Beta-Status) wird beim Passwort-Recovery gar nichts angeboten. 
Klingt komisch, ist aber so.
Ist wirklich seltsam, habe mal alternative e-mail Adresse und Mobilnummer für Recovery hinterlegt und funktioniert problemlos:
Jetzt kann ich mir die E-Mail für den Passwort-Reset auch zusenden (dauert ein wenig bis zur Zustellung im alternativen Postfach). Eine echte Auswahlmöglichkeit gibts allerdings nicht.
Link zum Zurücksetzen an alternative Email Adresse senden.
Meine Wahlmöglichkeit: Senden oder Tab schließen und nicht Senden
Ich finde es sehr fahrlässig, einen Reset Code ohne weitere Absicherung anwenden zu können. Man könnte ja bei Ersteinrichtung des Postfaches eine „geheime Frage“ vereinbaren, Name der Grundschule, Geburtstag der Schwester u.ä. und nur bei korrekter Antwort den Reset Code ausführen.
Die Formulierung „… ohne weitere Absicherung …“ hinkt ein wenig.
Die alternative E-Mail-Adresse und das zugehörige Postfach legt man selber fest.
(Das entsprechende Postfach muss zeitgleich ebenfalls kompromittierbar sein.)
In temporäre Postfächer (bspw. „mailhole.de“) wird die E-Mail für den Reset übrigens nicht zugestellt. Selbst dann nicht, wenn im System eine solche E-Mail-Adresse hinterlegt worden ist.
Wird für den Reset zusätzlich eine Telefonnummer eingerichtet (optional), ist hierzu ein Telefon-Passwort erforderlich.
Hat mal jemand bei MBO nachgefragt, was das soll, dass man über den E-Maillink ins Konto kommt?
Das ist nicht korrekt. Da wird einfach eine SMS geschickt aufs Natel bzw. Handy.
Das Telefonpasswort gibts obendrein als weitre Option. Da rufst Du an und gibst es durch. Du kannst es festlegen, wie Du willst. Am Telefon bekommst Du vom Mitarbeiter beim mailbox.org ein neues Passwort.
Hier kann man hoffen, das ein Mitarbeiter skeptisch wird, wenn etwas nicht passt, also Ernst Meier plötzlich nur Englisch kann.
Das weis ich aber nicht wir kritisch man dort ist.
