Ein schwerwiegender Cyberangriff hat den deutschen E-Mail-Provider Cock.li erschüttert und dabei persönliche Daten von **über einer Million Nutzern** kompromittiert. Der Vorfall unterstreicht erneut die kritischen Risiken veralteter Web-Anwendungen und unzureichend gepatchter Systeme in der heutigen Bedrohungslandschaft.
Umfang der Datenkompromittierung
Nach offiziellen Angaben der Plattform-Administration wurden **1.023.800 Benutzerkonten** kompromittiert, die seit 2016 den E-Mail-Service genutzt haben. Zusätzlich gelangten Kontaktinformationen von weiteren 93.000 Nutzern in die Hände der Angreifer, was diesen Vorfall zu einem der bedeutendsten Sicherheitsverletzungen im Bereich privater E-Mail-Dienste macht.
Trotz des erheblichen Datenverlusts blieben *kritische Informationen wie Passwörter, E-Mail-Inhalte und IP-Adressen* geschützt. Diese sensiblen Daten waren in separaten Datenbanken gespeichert, die für die Angreifer unzugänglich blieben – ein Beispiel für effektive Datensegmentierung in der Praxis.
Technische Analyse: Ausnutzung der CVE-2021-44026 Schwachstelle
Die forensische Untersuchung ergab, dass Cyberkriminelle eine bekannte Sicherheitslücke **CVE-2021-44026** in Roundcube Webmail ausgenutzt hatten. Diese SQL-Injection-Schwachstelle ermöglicht es Angreifern, beliebige Datenbankabfragen auszuführen und dadurch unbefugten Zugriff auf gespeicherte Informationen zu erlangen.
Ironischerweise hatte das Cock.li-Team kurz vor dem Angriff eine neuere Remote Code Execution-Schwachstelle (CVE-2025-49113) in Roundcube untersucht, die bereits aktiv ausgenutzt wird. Diese Analyse führte im Juni 2025 zur vollständigen Entfernung von Roundcube aus der Plattform-Infrastruktur.
Charakteristika des betroffenen Services
Cock.li fungiert als kostenloser, datenschutzorientierter E-Mail-Hosting-Provider unter der Leitung eines einzelnen Administrators namens Vincent Canfield. Der seit 2013 bestehende Service positioniert sich als Alternative zu großen kommerziellen Anbietern und unterstützt Standard-Protokolle wie SMTP, IMAP und TLS-Verschlüsselung.
Die Nutzerschaft umfasst hauptsächlich IT-Sicherheitsexperten, Open-Source-Enthusiasten und technikaffine Anwender, die großen Technologiekonzernen skeptisch gegenüberstehen. Bedauerlicherweise nutzen auch Cyberkriminelle, einschließlich Mitglieder der Ransomware-Gruppen Dharma und Phobos, den Service für ihre Aktivitäten.
Chronologie des Sicherheitsvorfalls
Die ersten Anzeichen für Probleme traten Ende der vergangenen Woche auf, als Cock.li ohne Vorankündigung offline ging. Kurz darauf erschien auf dem Hacker-Forum XSS ein Angebot zum Verkauf zweier Nutzerdatenbanken des Services. Der Angreifer forderte **mindestens einen Bitcoin** (etwa 104.000 US-Dollar) für den Datensatz.
Die offizielle Bestätigung des Vorfalls erfolgte erst mehrere Tage später durch eine detaillierte Stellungnahme der Administration. Allen seit 2016 aktiven Nutzern wird dringend empfohlen, ihre Kontokennwörter unverzüglich zu ändern.
Auswirkungen auf die Cybersecurity-Branche
Die Cock.li-Administration räumte ein, dass *“bessere Sicherheitsmaßnahmen diesen Vorfall hätten verhindern können“*. In der offiziellen Mitteilung heißt es unmissverständlich: „Cock.li hätte Roundcube überhaupt nicht verwenden sollen.“ Der Service plant keine weitere Bereitstellung der Roundcube-Weboberfläche.
Cybersecurity-Experten betonen, dass diese Datenleckage für Forscher und Strafverfolgungsbehörden von erheblichem Wert sein könnte. Die kompromittierten Informationen könnten zur Identifizierung von Cyberkriminellen beitragen, die diese Plattform für illegale Aktivitäten nutzen.
Der Cock.li-Vorfall verdeutlicht einmal mehr die fundamentale Bedeutung zeitnaher Software-Updates und ganzheitlicher Cybersecurity-Strategien. Organisationen müssen regelmäßige Sicherheitsaudits durchführen und identifizierte Schwachstellen umgehend beheben, insbesondere in Komponenten, die vertrauliche Nutzerdaten verarbeiten. Nur durch proaktive Sicherheitsmaßnahmen und konsequente Systemwartung lassen sich vergleichbare Datenschutzverletzungen zukünftig vermeiden.
