Lotus Notes ist ein in Firmen durchaus verbreitetes E-Mail- und Kalenderporgramm, da alle Daten in zentralen Datenbanken gespeichert wird, damit jeder Mitarbeiter seine E-Mails von jedem beliebigem Rechner abrufen kann. Leider scheint es Sicherheitsmängel aufzuweisen, mit deren Hilfe jederzeit sämtliche Daten eines anderen gelesen werden können.

Der Überwacher muss dazu Zugriff auf das Laufwerk C: haben, oder das entsprechende Laufwerk, auf dem das Programm installiert ist. Dort wechselt man in das Verzeichnis LotusData. Bei der unten angesprochenen Methoden muss man jedoch Zugriff auf den PC des Angegriffenen haben – ein Privileg, das einem Systemadministrator sicherlich zusteht.

Man sichert die Dateien aus dem lokalen Verzeichnis und kopiert die Dateien eines anderen Users in dasselbe. Einzig die Datei xxname.id (wobei xx für die Anmeldungs-ID steht) muss erhalten bleiben. Damit ist es nun möglich, mit dem eigenen Account die Mails des Angegriffenen zu lesen. Genauso funktioniert es auch, wenn man nur seine .id-Datei in das lokale Verzeichnis des anderen PCs kopiert.

Dieses Beispiel stellt ein schwerwiegendes Sicherheitsrisiko dar, da eine Passwortabfrage nicht mit den eigentlichen Zugriffsdaten für die Mails verknüpft sind. Damit ist ein noch so sicheres Passwort oder eine noch so gute Sicherung der Passwörter auf dem Server sinnlos.

Mit diesem Fehler hat Lotus Notes seinen 4. Platz glorreich verteidigt!