SQ Webmail is een webmailpakket dat door internetaanbieders en hostingproviders kan worden gebruikt om de mailbox van hun klanten ook via het web toegankelijk te maken. Naar nu blijkt, is het bij een slecht geconfigureerd pakket relatief eenvoudig om andermans mailbox binnen te komen. Het enige dat hiervoor nodig is, is een mailtje met daarin een afbeelding die elders op een server staat. Door in de logbestanden van de server te kijken, kan nadat iemand het bewuste mailtje heeft geopend, de referrer worden achterhaald. Dit is mogelijk doordat bij het openen van het mailtje het meegestuurde plaatje wordt opgevraagd vanaf de server waar het plaatje staat. Zodoende wordt op de server opgeslagen vanaf welke url het verzoek kwam, compleet met sessiegegevens. Kwaadwillenden kunnen hierdoor, zolang de sessie nog niet is verlopen, toegang krijgen tot de mailbox van de ontvanger.

Freeler

Onder meer Freeler gebruikt het webmailpakket van SQ Webmail. De internetaanbieder heeft geschokt gereageerd op de ontdekking en heeft direct maatregelen genomen. "We gebruiken deze webmail inmiddels twee jaar en dit lek is nog niet eerder ontdekt", zegt Peter van den Hoven, businessmanager bij Freeler. "We hebben inmiddels een oplossing gevonden om het probleem te verhelpen." Deze oplossing bleek eenvoudiger dan gedacht. Een van de mogelijkheden bij het configureren van het webmailpakket is een functie om het inladen van plaatjes van een andere server wel of niet toe te staan. Freeler heeft deze mogelijkheid nu uitgeschakeld, waardoor het probleem is verholpen. Van den Hoven acht het niet ondenkbaar dat deze functie bij andere aanbieders van SQ Webmail nog aanstaat, waardoor het systeem mogelijk misbruikt kan worden door kwaadwillenden.