Das Hochschulrechenzentrum hatte bereits am 26. April auf seiner Website über die Sicherheitslücke berichtet. Dort heißt es: "Bei Nutzung des universitären Webmail-Services und Anklicken eines Links in einer darin geöffneten E-Mail, konnte der Betreiber der Webseite (zu der der Link führt) Session-Informationen auslesen und dadurch Zugriff auf das Postfach erlangen, solange der Nutzer eingeloggt war." Die gute Nachricht: Nutzer von E-Mail-Clients auf Rechnern und Mobilgeräten (z.B. Thunderbird, K-9 oder MS Outlook) waren von dem Problem grundsätzlich nicht betroffen. Das HRZ geht davon aus, dass rund 10 bis 15 Prozent aller 42.000 Nutzer von Uni-Mailaccounts Webmail nutzen und so potentiell betroffen waren.
Es sind keine Fälle bekannt, in denen die mittlerweile geschlossene Sicherheitslücke in böswilliger oder krimineller Absicht ausgenutzt wurde.
Ursache der Sicherheitslücke war ein veraltetes Anmeldeverfahren in der Software, das mit sogenannten Session-IDs arbeitet. In einem ersten "Workaround" hatte das HRZ die Möglichkeit, unberechtigt Zugriff auf ein Postfach zu erlangen, unterbunden. Inzwischen wurde die Webmail auf eine Authentifizierung per Cookie umgestellt. Damit ist diese Angriffsmöglichkeit zukünftig grundsätzlich ausgeschlossen.
Unabhängig von der Nutzung von Webmail bittet das HRZ alle, die seine Dienste benutzen, grundsätzlich vorsichtig beim Anklicken von unbekannten Links zu sein, insbesondere wenn Ihnen der Absender ebenfalls nicht bekannt ist. Aber auch bekannt erscheinende Absender sind nicht unbedingt vertrauenswürdig, denn die Absenderinformationen lassen sich sehr leicht fälschen.
Vom ersten Hinweis bis zur Beseitigung des Problem sind mehrere Wochen vergangen. Eine schnellere Reaktion wäre wünschenswert gewesen. Darum prüft das Rechenzentrum nun seine internen Abläufe und Kommunikationswege, um bei künftigen Hinweisen schneller reagieren zu können.