Diese Abweichung ermöglichte unter bestimmten Umständen (bei Nutzung einer Catch-All-Adresse) – trotz aktivierter Zwei-Faktor-Authentifizierung (2FA) in Keycloak – die Authentifizierung mit dem Hauptpasswort.
Dadurch kann es vorkommen, von anderen E-Mail Besitzern in eigene Postfächer landen werden.
Dies halte ich für einen absoluten NoGo!
In verschiedenen Foren wird z.Tl. massiv die qualitativ minderwertige Arbeit von mailbox.org angezweifelt und kritisiert. Diese teile ich nicht ganz! Es zeigt nur, dass selbst bei mailbox.org es noch besser machen kann - und DRINGEND sollte!
Rückblickend gilt das selbstverständlich für jede Sicherheitslücke
Wichtig ist doch: Das Problem wurde (an-)erkannt und beseitigt. Darüber hinaus wurde der Vorgang transparent offengelegt.
Will man das bezogen auf den Anbieter auswerten, müsste man die Anzahl der Meldungen bzgl. aufgetretener derartiger Lücken betrachten.
Dabei wird mailbox.org sicherlich nicht schlecht abschneiden.
Hörensagen aus Foren ändert daran meiner Einschàtzung nach nichts.
Sehe ich genau so. 100% sicher ist gar nichts. Ich denke auch das man in dem Bereich schauen sollte wie mit dem Problem umgegangen wird. Und aus eventuellen Fehlern lernt
Im Übrigen scheint es auch hier (Privacy-Dienstleister) so eine Art Fanboy-Krieg zu geben, in dem der Konkurrent schlecht da stehen soll. Man sollte solche Bewertungen mit Vorsicht genießen.
Ich halte mich an die Sichtweise von jdevlx: Schwachstelle erkannt, transparent gemacht und hoffentlich behoben.
Ich denke das dürftest Du falsch verstanden haben.
Einen Catch-All kannst Du bei Mailbox.org für eine eigenen Domain einrichten, die Du selber verwaltest um z. B. alle nicht explizit Postfächern zugewiesenen E-Mail-Adressen ebenfalls empfangen zu können.
Die Schwachstelle selbst war meinem Verständnis nach, dass eine konfigurierte 2FA Authentisierung bei Benutzern die eine Catch-All-Konfiguration konfiguriert hatten, auf eine 1FA Authentisierung zurückgefallen ist - also das jeweilige Postfach schlechter geschützt war.
Dadurch sollten jedoch keine E-Mails falschen Postfächern zugeordnet worden.
Es ist (wie erwartet) bemerkenswert, dass bei so einem Sicherheitsvorfall vergleichsweise wenig Kritik hier im Forum kommt.
Bei anderen Dienstleistern wäre vermutlich der Aufschrei größer.
Ach übrigens, NICHT mailbox.org sondern die Community hat darauf aufmerksam gemacht. Proaktives Handeln sieht anders aus!
Das letztere Problem scheint aber „nur“ Konstellation zu betreffen, in den mehrere verschiedene User die selbe Domain nutzen, aber einer der User (der Eigentümer der Domain) einen Catch-All eingerichtet hat. M. E. ohnehin eine etwas problematische Geschichte, in so einer Konstellation Catch-All zu verwenden.
Beides sehr, sehr unschön. Zumal die einzige Information der User im Forum erfolgte. Weder gibt es einen Blogbeitrag / eine Pressemeldung, noch gab es eine Rundmail an alle User. Trotzdem: Wenn ich mir anschaue, was die großen Akteure auf dem Markt so anstellen (grob fahrlässig, oder auch mal vorsätzlich), ist der Vorfall bei mailbox.org noch relativ harmlos.
Also ich bin nicht davon betroffen, die dreistellige Anzahl der betroffenen Accounts sind informiert, das Problem tauchte bei einer speziellen Konstellation auf. Die durchgeführten Lösungen/Änderungen sind beschrieben in dem schon genannten Support-Beitrag. Warum sollte ich dann irgendwo in einem weit entfernten Forum darüber …
Offenbar wurde nicht ordentlich getestet. Das ist nun nachgebessert und somit ist „Proaktives Handeln“, wie du es einforderst, wieder hergestellt.
Falls du „100% fehlerfrei“ benötigst, wirst du selbst einen Mailserver aufsetzen müssen
Ich denke, wie bei jedem Unternehmen hat auch mailbox.org aus Reputationsgründen den entsprechenden Kommunikationskanal gewählt. Vermutlich wollte man nach Abwägung der Sachlage vermeiden, gleiche alle Nutzer zu verunsichern.
Ob das im konkreten Fall sinnvoll oder nicht war, muss jeder für sich selbst beurteilen.
Wie hier bereits erwähnt: Kein Unternehmen ist fehlerfrei. 100 % Fehlerfreiheit gibt es nirgends. Entscheidend ist, wie effektiv und nachhaltig ein Unternehmen mit solchen Situationen umgeht.
Auffällig ist, dass im kuketz Forum das Thema „Mailbox.org“ bezüglich Sicherheitsvorfall bisher nur sehr begrenzt thematisiert wurde, obwohl hier in der Regel datenschutzrelevante Dienste und Anbieter intensiv diskutiert werden. Neben diesem Thread gibt es weder einen Blogbeitrag, Post bei Mastodon, noch eine breitere Debatte dazu. Dieser Umstand wirft die Frage auf, warum das Thema keine größere Aufmerksamkeit erhält, und erfordert möglicherweise eine kritische Einordnung.
Ich verstehe nicht, was da weiter thematisiert werden soll? Gibt es denn generell durch Vorfall Zweifel an der Kompetenz und Fähigkeit der Mailboxmitarbeiter, besonders im Vergleich zu anderen Anbietern?
Wenn ich den Sicherheitsvorfall richtig verstanden habe, ist er durch eine bestimmte Konstellation an Einstellungen hervorgerufen worden, die relative wenige Kunden eingestellt haben, wodurch man 2FA nicht mehr für die Anmeldung brauchte, sondern nur das Hauptpasswort.
Das heißt, das muss auch erst einmal jemanden auffallen und gemeldet werden und die Konstellation herausgefunden werden, weswegen das Problem überhaupt auftritt. Mailbox.org hat sich dem Hinweis aus der Community angenommen und den Fehler bereinigt.
Durch den Vorfall war nichts allgemein zugänglich und es sind keine Daten kompromittiert worden. Selbst wenn ich von Mailbox.org nicht viel halten würde, würde es mir schwer fallen, jetzt darüber noch weiter zu diskutieren.
Ich bin aber neugierig, noch weitere Aspekt von dir zu hören, die mir dabei entgangen sind.
