Massive Sicherheitslücken bei der Telekom – Einsicht von Kundenaccounts möglich

Massive Sicherheitslücken bei der Telekom - Einsicht von Kundenaccounts möglich

Die Telekom-Tochter T-Com bietet mit ihrem Dienst webeasy zahlreiche Produkte aus dem Internet-Bereich. Unter anderem können Internet-Auftritte geordert und verwaltet werden. Kunden, die webeasy nutzen, speichern dort in der Regel wichtige Daten über Kunden, Bestellungen und das eigene Unternehmen. Alle Server und Systemkomponenten würden rund um die Uhr betreut und seien wirkungsvoll vor unbefugten Zugriffen aus dem Internet geschützt, wirbt T-Com für den webeasy-Dienst.

Doch dem Chaos Computer Club (CCC) zufolge, einem Verein von Informatik-Fachleuten, sei es möglich gewesen, durch einfache Manipulation Daten anderer Kunden einzusehen, zu verändern und eMails, die über Webseiten der Kunden gingen, abzufangen, mitzulesen sowie zu verändern. Durch unzureichend geschützte Passworte war der Zugriff auf mindestens mehrere tausend Kundenkonten möglich, offenbar überwiegend von Firmen, aber auch von Behörden und Botschaften. Nach Ansicht des CCC betreffen die Probleme zahlreiche Angebote der T-Com, wie zum Beispiel sämtliche Dienste des T-Mart Web-Services, IntraSelect oder das Telekom-System Brainloop. Ein Teil der Sicherheitsprobleme existiere noch immer.

Auf die Sicherheitslücken war ein Software-Fachmann bei der Verwaltung eines Accounts bei der T-Com gestoßen. Durch einfachste Manipulationen war es gelungen, Einblick in die Vertragsdaten anderer Kunden, wie Firmen, Behörden und öffentlichen Einrichtungen, die Webauftritte bei der Telekom haben, zu gewinnen. Dabei wäre es möglich gewesen, Kundendaten zu manipulieren, Leistungen hinzuzukaufen oder eMail-Konten weiterzuleiten. Letztlich sei auch der Zugriff auf so genannte „Betriebsdatenblätter“ der Telekom-Kunden möglich gewesen, in denen sich auch die kompletten Passworte zur Verwaltung von Webseiten und der dazu gehörenden eMails befinden. Zuletzt gelang es dem IT-Experten durch einfache Manipulationen von Abfragen an Telekom-Server, Administratoren-Passwörter zu erhalten, mit denen der volle Zugriff auf Kunden-Accounts auf Administratoren-Ebene möglich war. eMails, die über die Webpräsenzen zum Beispiel des Bundesnachrichtendienstes liefen, waren einzusehen, ohne dass dies von den Kunden bemerkt werden konnte. Nach Angaben der Experten des CCC wäre es auch problemlos möglich gewesen, den eMail-Verkehr zwischen Kunden und den Besitzern der Websites komplett zu manipulieren.

Erheblich vereinfacht wurden die Manipulationen durch zu einfache Passwort-Regeln im T-Com-System sowie eine schlampige Passwort-Einrichtung durch Telekom-Mitarbeiter. Diese verwendeten offenbar mehrfach ihren Nutzernamen lediglich leicht verändert als Passwort. „Es ist ja anscheinend so, dass an den Stellen, wo normalerweise massive Betonwände sein sollten, bestenfalls japanische Reispapierwände oder großmaschige Fischernetze vorhanden sind“, sagte ein IT-Experte und Unternehmensberater gegenüber tagesschau.de. Die Sicherheitslücken seien so umfangreich, dass das ganze System überarbeitet werden müsse.

Der Software-Fachmann, der auf die Sicherheitslücken aufmerksam wurde, informierte die Telekom unmittelbar nach der Entdeckung der ersten Sicherheitslücken im Mai 2003. Auch auf immer wieder neu entdeckte Lücken machte er die Telekom aufmerksam. Nach eigenen Angaben habe er bei jedem Nachforschen immer wieder weitere Sicherheitslücken gefunden. Für die Hinweise auf zwei anfangs gemeldete Sicherheitsprobleme habe ihm die Telekom eine Aufwandsentschädigung gezahlt. Die Telekom stimmte schließlich sogar einem Beratungsvertrag zu, mit dem weitere Recherchen des Experten vereinbart werden sollten. Zu einem Vertragsabschluss sei es letztlich nicht gekommen.
Die Antwort auf eine Anfrage von tagesschau.de bei der Telekom, ob und wie die Kunden über die Sicherheitsproblematik informiert wurden, stehe noch aus.

Quelle: tagesschau.de

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


zwölf + 16 =

Die aktuellsten telespiegel Nachrichten
Neue WhatsApp-Funktion – ersehnte Bearbeitungs-Option bald verfügbar?

Neue WhatsApp-Funktion

Ersehnte Bearbeitungs-Option bald verfügbar?

WhatsApp bringt voraussichtlich bald eine neue Funktion, über die sich viele User sicherlich freuen. Eine Beta-Version gibt einen Hinweis darauf, dass es bald möglich sein soll, bereits versendete Nachrichten zu bearbeiten. Wann das neue Feature verfügbar ist, ist noch nicht bekannt. […]

Cyberkriminalität – Bankkunden um mindestens 4 Millionen Euro betrogen

Cyberkriminalität

Bankkunden um mindestens 4 Millionen Euro betrogen

Gemeinsam mit der Staatsanwaltschaft Köln und der Staatsanwaltschaft Verden ist dem BKA heute ein Schlag gegen Cyberkriminelle gelungen. Die drei Beschuldigten sollen gemeinsam Bankkunden um insgesamt mindestens 4 Millionen Euro betrogen haben. Ihnen wird unter anderem Computersabotage in besonders schwerem Fall vorgeworfen. […]

Kaspersky warnt Android-User – trojanisierte Apps im Google Play Store

Kaspersky warnt Android-User

Trojanisierte Apps im Google Play Store

Kaspersky hat eine Sicherheitswarnung aufgrund einer schädlichen Kampagne im Google Play Store veröffentlicht. Mehr als 109 Apps sollen mit dem Harly-Trojaner infiziert sein, der ohne Wissen des Nutzers kostenpflichtige Abonnements abschließt. […]

Kampf gegen graue Flecken – Telekom, Telefónica & Vodafone kooperieren

Kampf gegen graue Flecken

Telekom, Telefónica & Vodafone kooperieren

Die drei aktiven Netzbetreiber Telekom, Telefónica und Vodafone treiben den Kampf gegen sogenannte graue Flecken voran. Durch Network-Sharing soll die Mobilfunkversorgung insbesondere in ländlichen Gebieten Deutschlands wesentlich verbessert werden. […]