Hushmail petzt: Verschlüsselnder Mailprovider liefert Userdaten ans FBI

**Korrupt** · 08. 11. 2007, 14:14

Selbst die eigenen Mitarbeiter könnten keine verschlüsselten Emails zwischen Hushmail-Nutzern lesen, versprach der US-Mailprovider, der automatisch Mails mit PGP verschlüsselt. In der Regel - denn gibt es eine Klage der Drogenermittlung, rückt Hushmail offenbar doch Mailinhalte heraus. Zwölf CDs voller Emails zwischen zwei Hushmail-Accounts erhielt die DEA von Hush im Klartext.

Hushmail pries die einfache, standardmäßige starke Kryptografie, die beim Hushmail-internen Mailwechsel automatisch zum Einsatz kommt. Nach Diffie-Hellmann werden Mails per Java-Applet bereits auf dem sendenden Rechner verschlüsselt und erst dann auf die Server Hushmails übertragen. Was sicher sein sollte, ist es indessen jedoch nicht unbedingt.

Wegen Handel mit Anabolika und Stereoiden wurde gegen zwei User von Hushmail-Accounts ermittelt, und offenbar war Hushmail in der Lage, die DEA mit Klartext-Emails zu versorgen ... weiterlesen

**Mincing_Machine** · 08. 11. 2007, 14:16

Verlass dich auf etwas und du bist verlassen.

**xpala** · 08. 11. 2007, 14:29

das ist schon übel...

das beweißt einmal mehr das kommerziele sache bzw software nicht sicher sind...
bzw hintertürchen haben die ganz weit offen sind

PS: open source rulez

**DAV3** · 08. 11. 2007, 14:30

Zitat von Johnnsen

Verlass dich auf etwas und du bist verlassen.

Word

Lieber wo anders ne E-Mail holen ( auf die Russen sind soweit ich weiß noch verlass

).

DasFragezeichen · 08. 11. 2007, 14:56

Das sitzt.

**waynesome** · 08. 11. 2007, 15:03

Selbst schuld, fünf Minuten für die PGP Installation sollte man halt investieren ...

**justinx2x** · 08. 11. 2007, 15:14

Schon heftig.Hätte ich nicht mit gerechnet.Vorallem das sehr viele Scene groups ihre Accs dort haben.Hm naja schauen wir mal wo das hinführt.

**Tiffany** · 08. 11. 2007, 15:26

Vertraue nie jemand anders, als dir selbst. Sicher ist man wohl bei keinem Account.

**MeGaMan6100** · 08. 11. 2007, 16:04

doch mit PGP!

**Registrator** · 08. 11. 2007, 16:39

Unfassbar.

**MSX** · 08. 11. 2007, 16:44

Hoffentlich macht das noch eine weite Runde, damit die sich ihren "Service" sonst wohin stecken können und pleite gehen.

**lancore89** · 08. 11. 2007, 22:59

Krass...

doch mit PGP!

das war PGP-verschlüsselt

nur nützt das ganze wohl recht wenig wenn der Client die Schlüssel oder den Klartext Hushmail liefert. Ansonsten wären sie ja nicht daran gekommen

Naja, vertraue keine Closed-Source-Software im Security Bereich...

**etagenklo** · 08. 11. 2007, 23:05

Wer sensible Daten mit proprietärer Software verschlüsselt, ist selber schuld.

Ich frage mich nur, wie Hushmail das seinen Kunden vermitteln will, der Dienst macht sich doch dadurch selbst vollkommen überflüssig.

**JohnnyE** · 08. 11. 2007, 23:09

Mal schauen wie die Scene darauf reagiert. ^^

**JohONE** · 09. 11. 2007, 09:27

hmm, irgendwie find ich keine Möglichkeit mich dort (aus Protest) abzumelden :S
Benutz das Ding eh nich mehr...

**Registrator** · 09. 11. 2007, 12:11

Und nu? Sind sie schon pleite?
Normalerweise müsste sich nach so einer News doch der Großteil der Nutzer mit bezahltem Account sofort verabschieden.

**Smore Rasmussen** · 10. 11. 2007, 20:38

Zitat von etagenklo

Ich frage mich nur, wie Hushmail das seinen Kunden vermitteln will, der Dienst macht sich doch dadurch selbst vollkommen überflüssig.

Dann schreiben sie halt zusätzlich noch 3x fett "secure" auf ihre Startseite. Scheinbar hat das bei den Kunden bisher auch gezogen.

**D34L3R** · 11. 11. 2007, 00:16

Ich würde nicht ein mal PGP einsetzen wenn ichs geschenkt bekommen würde....
Setze sowieso lieber auf OpenSource-Lösungen... da kann wenigstens jeder den Quellcode einsehen und das Prinzip "security through obscurity" ist eh überholt...
Hoffentlich gehen die Pleite.... sowas ist Betrug am Kunden...

**MSX** · 11. 11. 2007, 00:25

PGP war afair nur zu den Zeiten, als McAffee die Lizenz gehörte, nicht komplett einsehbar und sehr in Verruf geraten. Seit 2005 wurde es zurück an Phil Zimmermann und Kollegen verkauft, der wieder alles offengelegt hat.

Auch das Hushmail-Java-Applet ist OpenSource und war auch nicht das Problem. Das, was ihnen das Genick gebrochen hat, war der Umstand, daß sie die zweite Möglichkeit der Verschlüsselung nutzten, also via SSL verbinden und auf deren Servern verschlüsseln ließen.

Daß sie mit dem Gesetz zusammenarbeiten müssen, das hätte man sich eventuell denken können, aber dazu müßte man sich wiederum mit den Datenschutzrechtlichen Umständen in Kanada auseinandersetzen, die sicherlich kein Mensch kennt. Insofern fand ich es in der Tat ziemlich link, daß da kein Hinweis darauf zu finden war.