GMX-Sicherheitswarnung, Databreach

[Eigenbrötla]

1) Es ist mir nicht gelungen, dem Chat-Bot mein Problem verständlich zu machen.
2) Es ist mir nicht gelungen, auf der GMX-Webseite eine Supporttelefonnumer oder Mailadresse ausfindig zu machen.
3) Google findet zwei Nummern. Eine angeblich auf der GMX-Datenschutzseite. Dort ist sie aber nicht. Eine andere findet sich irgendwo auf der Seite der Computerbild. Egal, probiert. Beide Nummern sind ständig besetzt. Man wird nach 5 Sekunden aus der Leitung geworfen. Und ich habe keine Lust, Nummern stundenlang zu probieren, von denen ich nicht weiß, ob sie überhaupt (noch) gültig sind und ob dort GMX-Free-User Support erhalten. Aber vielleicht hat ja der Dr. McCoy eine verlässliche Nummer.

 

[Dr. McCoy]

1) Es ist mir nicht gelungen, dem Chat-Bot mein Problem verständlich zu machen.

Initiiere einen Chat mit einem Mitarbeiter, nicht mit der KI.
Das geht so (Klicken auf bzw. Schreiben in rote Markierungen):

 

[BFF]

Wartezeit 25 Minuten bei online chat?

Entweder haben die niemanden oder die haben Probleme. 🤷‍♂️

 

[Eigenbrötla]

"Schreiben in rote Markierungen"? WTF ... Nein, zuerst gibts einen Button "Live Chat". Wenn man den aber gedrückt hat und auf später vertröstet wurde, kann er - auch nach Browserneustart - nicht mehr angeklickt werden. Was funktioniert, ist "livechat" einzutippen. Irgendwann klappt es dann. Hatte ein längeres Gespräch/Getippe.

Auf die Frage, wer zugegriffen hat, kam als Antwort:
Da wir im Chat keine Möglichkeit haben einen Datenabgleich durchzuführen, können wir Ihnen hier nur einen allgemeinen Support anbieten. [...] Solche Informationen [nach IP] können aber auch generell nicht eingesehen werden.

Auf seine Frage, ob ich eine "höhere" Anzahl Mails abgeschickt hätte, habe ich gesagt, das nicht, aber ich versende ab und an Mails von meinem ISP-Mailserver aus mit GMX-Absenderadresse. Da meinte er, das könnte für eine Sperre mit-verursachend sein.

Er gab mir eine Mailadresse der Technikabteilung, an die ich vom GMX-Postfach aus schreiben solle. Das habe ich getan. Ich melde mich wieder.

 

[eYc]

Leute, es KOTZT mich an. Es ist wieder passiert. Selbe GMX-Adresse. Wieder muss ich beim Anmelden auf der GMX-Homepage ein neues Passwort vergeben, weil sie das alte gesperrt haben. Wieder stelle ich keinerlei Änderungen in meinem Konto fest. Aber alle Mailfilter sind von GMX deaktiviert worden, muss sie also alle durchsehen und wieder aktivieren.

Hallo,

mir ist genau das selbe passiert, bei web.de (selbes Unternehmen), und ebenfalls zuerst am 12. März.
Das zweite Mal war gestern, 26.03. (siehe hier und Post #38)
Ebenfalls musste ich jedesmal meine Identität per SMS-Code bestätigen, das Passwort ändern, die selben zwei Mails mit "Sicherheitshinweisen" waren im Posteingang, und die Filterregeln waren deaktiviert.

Dass 2FA da nichts bringt, war mir klar, denn ich gehe auch davon aus, dass niemand tatsächlich in meinem Account eingeloggt war. Es war auch keine Weiterleitung eingerichtet, und es gibt nur meine Filterregeln um Spam-Mails sofort zu löschen.
Die Handynummer und die zweite Mailadresse, mit der man noch zusätlich über die erfolgte Passwort-Änderung informiert wird, sind ja schon eine Art zweiter Faktor ("Sicherheitsinformationen"), so dass ich nicht vorhabe, 2FA zu aktivieren.

Ist wirklich ärgerlich, dass man nichts genaueres erfährt, und nur diese allgemeinen 'Infos' kriegt, mit denen man wenig anfangen kann. Auch, ob es seit der letzten Anmeldung fehlgeschlagene Loginversuche gibt, sieht man durch diese 'doppelte' Anmeldung nicht. Ich verwende ausschließlich Webinterface, und das hatte in den letzten Monaten deutlich zugenommen.

Die Sache mit VPN hat mich jetzt auf die Idee gebracht, dass es vielleicht daran liegen könnte, dass ich öfter mal die IP wechsle. Wegen Problemen beim online-gaming probiere ich öfter mal einen Reboot des Routers, in der Hoffnung dass es dann besser läuft. Dabei scheint sich die IP-Adresse auch mal komplett zu ändern.
Am WE war's mal so, dass ich nach einem solchen "Power Cycle" nicht mehr auf den Game-Server kam, mit der Meldung "... failed after 4 retries" (oder ähnlich). Am nächsten Tag war's immer noch so, aber nachdem der Router mal stromlos war funktionierte es wieder.

Jetzt bin ich auch mal gespannt, ob das bei mir so weiter geht, nachdem's hier schon dreimal passiert ist.

 

[Eigenbrötla]

Die GMX-Technikabteilung hat sich gemeldet:

Wir haben derzeit noch keine genaueren Erkenntnisse, was die definitive Ursache ist welche zu den wiederholten Sperren in Ihrem Postfach führt.
Was sicher ist: Filterregeln mit bestimmten Kombinationen werden von Unbefugten oder Hackern verwendet um sowohl Ihrem Postfach als auch dem betroffenen Unternehmen zu schaden.
Ein Beispiel hierfür ist z.B. Bedingung: "Absender enthält eBay" Aktion: "In den Ordner 'Spam' verschieben"
Oder auch z.B. Bedingung: "Absender enthält Amazon" Aktion: "Sofort löschen"
Diese kritischen Kombinationen in den Filterregeln werden von unserem Sicherheitssystem erkannt welches daraufhin das Postfach sperrt um eine weitere missbräuchliche Nutzung zu verhindern.
Wir haben den von Ihnen geschilderten Sachverhalt bereits zur genaueren Überprüfung an die zuständige Fachabteilung weitergeleitet.

Ich lese das so, dass sie in Postfächern, auf die nachweislich ein Fremdzugriff erfolgt ist, die von den Angreifern eingerichteten Weiterleitungen analysiert haben und im zweiten Schritt alle Postfächer dann auf "ähnliche" Weiterleitungen überprüft haben. Finden sich Synchronitäten, wurde ebenfalls ein Fremdzugriff vermutet und die betreffenden Postfächer auf Verdacht hin gesperrt. Kurz gesagt: Wir hier haben die "falschen" Weiterleitungen eingerichtet, und diese haben die Sperre getriggert.
Nicht verstehen tu ich, wieso sie die "genauere Ursache" noch nicht kennen ... Sie werden ja wissen, auf was hin sie alle Postfächer checken, werden also nachvollziehen können, warum wir hier gesperrt wurden. Da brauchen sie nur ihr "Sicherheitssystem" mit unseren Weiterleitungen zu vergleichen.

Oder hat jemand eine andere Interpretation der GMX-Mail?

 

[PC295]

Dann liegt das Problem wahrscheinlich hier:

Aber alle Mailfilter sind von GMX deaktiviert worden, muss sie also alle durchsehen und wieder aktivieren.

Welche Filter hast du den aktiviert bzw. welchen Zweck sollen sie erfüllen?

GMX und andere Mailanbieter können nicht prüfen ob du dich gerade selbst einloggst oder Dritte missbräuchlich deine Zugangsdaten verwenden, also stellen sie ihre Sicherheitssysteme so ein, dass sie typische Merkmale erkennen, die sonst bei Fremdzugriff unternommen werden.

Du hast quasi einen Filter gesetzt, den so eigentlich nicht machen sollte.
Im Beispiel werden ja bewusst legitime Seiten verwendet. Denn amazon- oder ebay-Mails wird keiner mutwillig in den Spam schieben oder ungelesen löschen. Das machen nur Dritte bei Fremdzugriff um zu verhindern, dass du beispielsweise per Mail-Client erfährst, dass gerade jemand dein Passwort für ebay oder amazon geändert hat.

 

[BFF]

iese kritischen Kombinationen in den Filterregeln werden von unserem Sicherheitssystem erkannt welches daraufhin das Postfach sperrt um eine weitere missbräuchliche Nutzung zu verhindern.

Ich weiss jetzt nicht ob ich lachen oder heulen soll.
Das meint ja, das u.U. das komplette Weiterleiten zu z.B. GMAIL eine Sperre ausloesen kann.

 

[Eigenbrötla]

Welche Filter hast du den aktiviert bzw. welchen Zweck sollen sie erfüllen?
[...]
Du hast quasi einen Filter gesetzt, den so eigentlich nicht machen sollte.
Im Beispiel werden ja bewusst legitime Seiten verwendet. Denn amazon- oder ebay-Mails wird keiner mutwillig in den Spam schieben oder ungelesen löschen. Das machen nur Dritte bei Fremdzugriff um zu verhindern, dass du beispielsweise per Mail-Client erfährst, dass gerade jemand dein Passwort für ebay oder amazon geändert hat.

Meine Filter werde ich hier nicht posten. Es sind "ganz normale" Filter. Etliche Sofortweiterleitungen an meinen ISP, einige Spam-Filter, die die Mails in den Spamordner schieben und 2 Filter, die sofort löschen.
GMX kann übrigens nicht wissen, wofür ich dieses Postfach verwende. In der Tat ist es so, dass ich für Ebay und Amazon Mailadressen meines ISP verwende. Mails von angeblich Ebay oder Amazon an meine GMX-Adresse sind entweder nicht von Ebay oder Amazon oder sie interessieren mich nicht (weil Werbung oder was weiß ich).
Nach der zweiten Sperre habe ich meine Filter kräftig aufgeräumt und viele gelöscht (um die verbliebenen bei eventuellen weiteren Sperren rascher wieder aktivieren zu können). Trotzdem kam es zur 3. Sperre, die Weiterleitungen waren dann zum Glück schnell durchgeklickt.

 

[BFF]

Etliche Sofortweiterleitungen an meinen ISP,

Das/ein "uebliche(s)" Muster fuer Accountuebernahme (ohne das der Nutzer das merken soll).
Ein "Boesewicht" laesst alles an seinen Account weiterleiten ohne das es bei GMX bleibt.
Wurde letztens verwendet um per Amazon teuer zu kaufen und die Nachrichten dazu sollte der Inhaber der Mailadresse garnicht mitbekommen bzw. wurden in einer riesen Spamwelle versteckt.

Sofern kann ich GMX verstehen.
Ist zwar sinnfrei, weil der Nutzer sollte allein entscheiden koennen, aber nachvollziehbar.

 

[Eigenbrötla]

Ein "Boesewicht" laesst alles an seinen Account weiterleiten ohne das es bei GMX bleibt.
Wurde letztens verwendet um per Amazon teuer zu kaufen und die Nachrichten dazu sollte der Inhaber der Mailadresse garnicht mitbekommen bzw. wurden in einer riesen Spamwelle versteckt.

Eine Weiterleitung ist eine Weiterleitung ist eine Weiterleitung. Die löscht nichts bei GMX! Wenn man das will, muss man nach der Weiterleitung auch noch einen Löschfilter ergänzen.
Ich sagte doch, dass meine betroffene GMX-Adresse z.B auch hier bei der Computerbase hinterlegt ist. Soeben kam bei meinem ISP die von GMX weitergeleitete Mail über neue Beiträge in diesem Thread an. Ich habe nachgesehen auf der GMX-Webseite. In meinem Postfach liegt selbstverständlich die Computerbase-Verständigung noch drin: weitergeleitet und weiter vorhanden im Eingangsordner.
(Weiterleiten ist also ein Kopieren, nicht ein Verschieben.)

 

[BFF]

Das kannst Du so sehen. GMX sieht das nicht so und kickt Dich.
Du hattest da mindestens drei Merkmale. Weiterleiten nach Extern, Verschieben und Loeschen.
Was hast Du jetzt noch? Eventuell reichte das was Du noch hast immer noch fuer den Automaten da bei United Internet.

 

[PC295]

einige Spam-Filter, die die Mails in den Spamordner schieben und 2 Filter, die sofort löschen.

Hier solltest du prüfen, ob es tatsächlich um typischen Spam handelt oder z.B. um Newsletter, Produktempfehlungen, etc. die du teilw. automatisch nach Registrierung auf bestimmten Seiten bzw. Online-Shops erhälst.
Hier ist es sinnvoller sowas einfach abzubestellen bzw. in den Account-Einstellungen jeweiliger Seiten zu deaktivieren, anstelle sie als Spam zu behandeln.

 

[Eigenbrötla]

Das kannst Du so sehen. GMX sieht das nicht so und kickt Dich.
Du hattest da mindestens drei Merkmale. Weiterleiten nach Extern, Verschieben und Loeschen.

Ja, aber nicht im selben Filter, also nicht für dieselbe Triggerung. Alle meine Filter haben inkludiert, dass an dieser Stelle die Filterung beendet werden soll. Mehr als 1 Filter wird daher auf eine Mail nicht angewendet.

 

[BFF]

Ja, aber nicht im selben Filter, also nicht für dieselbe Triggerung

Das wird GMX vermutlich egal sein.
Deine Filterei hat irgendwie Aufsehen erregt. Plus das Verwenden von VPN.
Und damit Feuer frei seitens GMX.

Wird 'ne Weile dauern bis Dich der Automat von UI als ungefaehrlich einstuft. 😉

 

[Eigenbrötla]

Wird 'ne Weile dauern bis Dich der Automat von UI als ungefaehrlich einstuft. 😉

Und dann leg ich erst richtig los!

 

[Eigenbrötla]

Okay, keine weitere Sperre ist erfolgt. Der Automat scheint gelernt zu haben. Bei dieser GMX-Adresse. Heute entdecke ich, dass eine weitere gesperrt wurde (wohl gestern). Immer am Wochenanfang lässt GMX offenbar seine blöden Routinen drüberlaufen, die nicht auf tatsächliche Hackversuche reagieren, sondern rein die Filter kontrollieren und das Konto sperren, wenn sie ihnen verdächtig erscheinen.

Auch bei dieser GMX-Adresse jetzt sind keinerlei Auffälligkeiten oder Veränderungen erkennbar. Ich musste alle Filter wieder aktivieren.

Diese Hypochondrie ist kontraproduktiv. Denn erhalte ich künftig die Mitteilung über eine Kontosperre, werde ich sie nicht ernstnehmen oder zumindest das Konto immer oberflächlicher auf Veränderungen überprüfen. Denn ich habe meine Zeit nicht gestohlen.