Massive Sicherheitslücken bei der Telekom – Einsicht von Kundenaccounts möglich

sicherheit

Die Telekom-Tochter T-Com bietet mit ihrem Dienst webeasy zahlreiche Produkte aus dem Internet-Bereich. Unter anderem können Internet-Auftritte geordert und verwaltet werden. Kunden, die webeasy nutzen, speichern dort in der Regel wichtige Daten über Kunden, Bestellungen und das eigene Unternehmen. Alle Server und Systemkomponenten würden rund um die Uhr betreut und seien wirkungsvoll vor unbefugten Zugriffen aus dem Internet geschützt, wirbt T-Com für den webeasy-Dienst.

Doch dem Chaos Computer Club (CCC) zufolge, einem Verein von Informatik-Fachleuten, sei es möglich gewesen, durch einfache Manipulation Daten anderer Kunden einzusehen, zu verändern und eMails, die über Webseiten der Kunden gingen, abzufangen, mitzulesen sowie zu verändern. Durch unzureichend geschützte Passworte war der Zugriff auf mindestens mehrere tausend Kundenkonten möglich, offenbar überwiegend von Firmen, aber auch von Behörden und Botschaften. Nach Ansicht des CCC betreffen die Probleme zahlreiche Angebote der T-Com, wie zum Beispiel sämtliche Dienste des T-Mart Web-Services, IntraSelect oder das Telekom-System Brainloop. Ein Teil der Sicherheitsprobleme existiere noch immer.

Auf die Sicherheitslücken war ein Software-Fachmann bei der Verwaltung eines Accounts bei der T-Com gestoßen. Durch einfachste Manipulationen war es gelungen, Einblick in die Vertragsdaten anderer Kunden, wie Firmen, Behörden und öffentlichen Einrichtungen, die Webauftritte bei der Telekom haben, zu gewinnen. Dabei wäre es möglich gewesen, Kundendaten zu manipulieren, Leistungen hinzuzukaufen oder eMail-Konten weiterzuleiten. Letztlich sei auch der Zugriff auf so genannte „Betriebsdatenblätter“ der Telekom-Kunden möglich gewesen, in denen sich auch die kompletten Passworte zur Verwaltung von Webseiten und der dazu gehörenden eMails befinden. Zuletzt gelang es dem IT-Experten durch einfache Manipulationen von Abfragen an Telekom-Server, Administratoren-Passwörter zu erhalten, mit denen der volle Zugriff auf Kunden-Accounts auf Administratoren-Ebene möglich war. eMails, die über die Webpräsenzen zum Beispiel des Bundesnachrichtendienstes liefen, waren einzusehen, ohne dass dies von den Kunden bemerkt werden konnte. Nach Angaben der Experten des CCC wäre es auch problemlos möglich gewesen, den eMail-Verkehr zwischen Kunden und den Besitzern der Websites komplett zu manipulieren.

Erheblich vereinfacht wurden die Manipulationen durch zu einfache Passwort-Regeln im T-Com-System sowie eine schlampige Passwort-Einrichtung durch Telekom-Mitarbeiter. Diese verwendeten offenbar mehrfach ihren Nutzernamen lediglich leicht verändert als Passwort. „Es ist ja anscheinend so, dass an den Stellen, wo normalerweise massive Betonwände sein sollten, bestenfalls japanische Reispapierwände oder großmaschige Fischernetze vorhanden sind“, sagte ein IT-Experte und Unternehmensberater gegenüber tagesschau.de. Die Sicherheitslücken seien so umfangreich, dass das ganze System überarbeitet werden müsse.

Der Software-Fachmann, der auf die Sicherheitslücken aufmerksam wurde, informierte die Telekom unmittelbar nach der Entdeckung der ersten Sicherheitslücken im Mai 2003. Auch auf immer wieder neu entdeckte Lücken machte er die Telekom aufmerksam. Nach eigenen Angaben habe er bei jedem Nachforschen immer wieder weitere Sicherheitslücken gefunden. Für die Hinweise auf zwei anfangs gemeldete Sicherheitsprobleme habe ihm die Telekom eine Aufwandsentschädigung gezahlt. Die Telekom stimmte schließlich sogar einem Beratungsvertrag zu, mit dem weitere Recherchen des Experten vereinbart werden sollten. Zu einem Vertragsabschluss sei es letztlich nicht gekommen.
Die Antwort auf eine Anfrage von tagesschau.de bei der Telekom, ob und wie die Kunden über die Sicherheitsproblematik informiert wurden, stehe noch aus.

Quelle: tagesschau.de

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


acht + 11 =

Die aktuellsten telespiegel Nachrichten
Apple-Neuheiten - Apple Watch Series 6, iPad Air und Co. vorgestellt

Apple-Neuheiten

Apple Watch Series 6, iPad Air und Co. vorgestellt

Am Dienstagabend stellte Apple-Chef Tim Cook die neusten Geräte des US-amerikanischen Unternehmens vor. Dazu zählen insbesondere die Apple Watch Series 6 sowie das iPad Air. Wann genau das iPhone 12 vorgestellt wird, ist noch nicht bekannt – es dürfte allerdings nicht mehr lange dauern. […]

Cyberkriminalität – Die Gefahr im Netz wird von vielen unterschätzt

Cyberkriminalität

Die Gefahr im Netz wird von vielen unterschätzt

Eine Umfrage von Kaspersky hat ergeben, dass von vielen Internetnutzern die Gefahr unterschätzt wird, die dort lauert. Viele sehen sich selbst nicht als attraktives Ziel für Cyberkriminelle. Dabei wird insbesondere im Unterhaltungsbereich das Risiko eines kriminellen Angriffs unterschätzt. […]

Verbraucherschutz – Sonderkündigungsrecht bei geringer Preiserhöhung

Verbraucherschutz

Sonderkündigungsrecht bei geringer Preiserhöhung

Auch bei einer geringen Preiserhöhung müssen Anbieter von TV, Internet und Telefon, ihren Kunden ein Sonderkündigungsrecht einräumen. Dies wurde bereits vom OLG Frankfurt am Main entschieden. Ein Vergleich zwischen der Verbraucherzentrale Brandenburg und der Tele Columbus bestärkt nun dieses Recht. […]