Hushmail is een dienst die zich graag laat voorstaan op zijn goede beveiliging. Zo worden e-mailberichten standaard versleuteld. De dienst is voornamelijk populair onder gebruikers die veel waarde hechten aan hun privacy en de beveiliging van hun mail. Hushmail mag onder meer banken, verzekeraars en advocatenkantoren tot zijn klanten rekenen. In Nederland biedt de in it-beveiliging gespecialiseerde nieuwssite Security.nl Hushmail aan. Op een pagina met getuigschriften schrijft een anonieme Hushmail-gebruiker: "Ik heb een groot aantal e-mailaanbieders gebruikt en ben tot de conclusie gekomen dat voor iedereen die anonimiteit en compleet veilige e-mail wil, Hushmail zonder twijfel de enige dienst is om te gebruiken." De nadruk die Hushmail op de beveiliging legt, kon niet voorkomen dat de Nederlandse beveiligingsexpert Martijn Brinkers een lek in het e-mailsysteem van Hushmail ontdekte. Door het lek was het onder meer mogelijk om stiekem een kopie van elk uitgaand bericht van een Hushmail-gebruiker naar een opgegeven adres te sturen.

Lek

Brinkers maakte bij het lek gebruik van een combinatie van een cross site scripting exploit (xss) en de mogelijkheid om met behulp van een cookie gegevens die door de gebruikers worden ingevuld, te overschrijven (voor de kenners: Hushmail gebruikte de php-variabele '$_REQUEST'). Deze combinatie zorgde voor een sluimerende cross site scripting exploit die in werking trad op het moment dat een Hushmail-gebruiker een mailtje opstelde. "Zo'n cookie kun je niet zomaar instellen op een bepaald domein", legt Brinkers uit. "Het is niet mogelijk om een cookie op domein a.com in te stellen vanaf domein b.com. Om dit toch voor elkaar te krijgen, kun je gebruikmaken van cross site scripting, xss." Het aldus geïnstalleerde cookie zorgde ervoor dat een Hushmail-gebruiker bij het opstellen van een nieuw mailtje zonder het te weten een script laadde vanaf de site van Brinkers. "Dit scriptje zorgde ervoor dat de encryptie van het mailtje werd uigezet, zonder dat de Hushmail-gebruiker dit direct kon zien." "Ook werd er met een ander cookie een nieuw adres aan het bcc-veld toegevoegd zonder dat het slachtoffer dit kon zien. Als dit cookie eenmaal op je computer staat, wordt er elke keer een bcc-tje verstuurd van elk mailbericht dat je opstelt. Het slachtoffer kan hier alleen een eind aan maken door het cookie te verwijderen." Het lek werd geactiveerd door een Hushmail-gebruiker zover te krijgen om op een link te klikken. "Dat is het moeilijkste deel van de aanval", zo geeft Brinkers toe. "Hushmail heeft er namelijk voor gezorgd dat je niet zomaar op een link kunt klikken in een mailtje dat je via de webmail bekijkt. Dat betekent dat het slachtoffer de link moet kopiëren en plakken in zijn browser. De kans dat iemand daar intrapt, is niet zo groot." Brinkers ziet wel andere mogelijkheden om een Hushmail-gebruiker in de val te laten lopen, zeker als een aanvaller een bepaald persoon op het oog heeft. "Als iemand bijvoorbeeld ook gebruikmaakt van een ander e-mailsysteem, dan zou je het mailtje met de link daar naartoe kunnen sturen. Ook zou je gebruik kunnen maken van een cross site scripting exploit op een totaal andere pagina die doorlinkt naar Hushmail."

Paar dagen

Brinkers, die vorig jaar al ontdekte dat een groot aantal Nederlandse internetaanbieders de beveiliging van webmail niet goed op orde had, trok bij Hushmail aan de bel. Inmiddels heeft de dienst het lek gedicht. "Het duurde even voor Hushmail reageerde, maar dat kwam omdat de verantwoordelijke persoon tijdelijk niet aanwezig was", aldus Brinkers. "Toen ze eenmaal alle gegevens hadden, was het in een paar dagen adequaat opgelost." Volgens Brinkers komen problemen die worden veroorzaakt door een specifieke php-feature (de '$_REQUEST'-variabele) in combinatie met cookies, vaker voor. "Hushmail is niet de enige dienst waar een dergelijk lek kon worden misbruikt. In het verleden hadden Tweakers.net en Speurders te kampen met vergelijkbare problemen."