Massive Sicherheitslücken bei der Telekom – Einsicht von Kundenaccounts möglich

Massive Sicherheitslücken bei der Telekom - Einsicht von Kundenaccounts möglich

Die Telekom-Tochter T-Com bietet mit ihrem Dienst webeasy zahlreiche Produkte aus dem Internet-Bereich. Unter anderem können Internet-Auftritte geordert und verwaltet werden. Kunden, die webeasy nutzen, speichern dort in der Regel wichtige Daten über Kunden, Bestellungen und das eigene Unternehmen. Alle Server und Systemkomponenten würden rund um die Uhr betreut und seien wirkungsvoll vor unbefugten Zugriffen aus dem Internet geschützt, wirbt T-Com für den webeasy-Dienst.

Doch dem Chaos Computer Club (CCC) zufolge, einem Verein von Informatik-Fachleuten, sei es möglich gewesen, durch einfache Manipulation Daten anderer Kunden einzusehen, zu verändern und eMails, die über Webseiten der Kunden gingen, abzufangen, mitzulesen sowie zu verändern. Durch unzureichend geschützte Passworte war der Zugriff auf mindestens mehrere tausend Kundenkonten möglich, offenbar überwiegend von Firmen, aber auch von Behörden und Botschaften. Nach Ansicht des CCC betreffen die Probleme zahlreiche Angebote der T-Com, wie zum Beispiel sämtliche Dienste des T-Mart Web-Services, IntraSelect oder das Telekom-System Brainloop. Ein Teil der Sicherheitsprobleme existiere noch immer.

Auf die Sicherheitslücken war ein Software-Fachmann bei der Verwaltung eines Accounts bei der T-Com gestoßen. Durch einfachste Manipulationen war es gelungen, Einblick in die Vertragsdaten anderer Kunden, wie Firmen, Behörden und öffentlichen Einrichtungen, die Webauftritte bei der Telekom haben, zu gewinnen. Dabei wäre es möglich gewesen, Kundendaten zu manipulieren, Leistungen hinzuzukaufen oder eMail-Konten weiterzuleiten. Letztlich sei auch der Zugriff auf so genannte „Betriebsdatenblätter“ der Telekom-Kunden möglich gewesen, in denen sich auch die kompletten Passworte zur Verwaltung von Webseiten und der dazu gehörenden eMails befinden. Zuletzt gelang es dem IT-Experten durch einfache Manipulationen von Abfragen an Telekom-Server, Administratoren-Passwörter zu erhalten, mit denen der volle Zugriff auf Kunden-Accounts auf Administratoren-Ebene möglich war. eMails, die über die Webpräsenzen zum Beispiel des Bundesnachrichtendienstes liefen, waren einzusehen, ohne dass dies von den Kunden bemerkt werden konnte. Nach Angaben der Experten des CCC wäre es auch problemlos möglich gewesen, den eMail-Verkehr zwischen Kunden und den Besitzern der Websites komplett zu manipulieren.

Erheblich vereinfacht wurden die Manipulationen durch zu einfache Passwort-Regeln im T-Com-System sowie eine schlampige Passwort-Einrichtung durch Telekom-Mitarbeiter. Diese verwendeten offenbar mehrfach ihren Nutzernamen lediglich leicht verändert als Passwort. „Es ist ja anscheinend so, dass an den Stellen, wo normalerweise massive Betonwände sein sollten, bestenfalls japanische Reispapierwände oder großmaschige Fischernetze vorhanden sind“, sagte ein IT-Experte und Unternehmensberater gegenüber tagesschau.de. Die Sicherheitslücken seien so umfangreich, dass das ganze System überarbeitet werden müsse.

Der Software-Fachmann, der auf die Sicherheitslücken aufmerksam wurde, informierte die Telekom unmittelbar nach der Entdeckung der ersten Sicherheitslücken im Mai 2003. Auch auf immer wieder neu entdeckte Lücken machte er die Telekom aufmerksam. Nach eigenen Angaben habe er bei jedem Nachforschen immer wieder weitere Sicherheitslücken gefunden. Für die Hinweise auf zwei anfangs gemeldete Sicherheitsprobleme habe ihm die Telekom eine Aufwandsentschädigung gezahlt. Die Telekom stimmte schließlich sogar einem Beratungsvertrag zu, mit dem weitere Recherchen des Experten vereinbart werden sollten. Zu einem Vertragsabschluss sei es letztlich nicht gekommen.
Die Antwort auf eine Anfrage von tagesschau.de bei der Telekom, ob und wie die Kunden über die Sicherheitsproblematik informiert wurden, stehe noch aus.

Quelle: tagesschau.de

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Endlich schnelles Internet im Zug? – Kooperation soll Netz verbessern

Endlich schnelles Internet im Zug?

Kooperation soll Netz verbessern

Ein neues Forschungs- und Entwicklungsprojekt, bei dem alle vier Netzbetreiber Deutschlands mit der Deutschen Bahn zusammenarbeiten, soll das Netz im Zug endlich deutlich verbessern. Denn bisher müssen Reisende meist auf schnelles Internet verzichten. Das soll sich in Zukunft ändern. […]

Bitcoins im Millionenwert – die jahrelange Suche auf der Mülldeponie

Bitcoins im Millionenwert

Die jahrelange Suche auf der Mülldeponie

Seit mehr als elf Jahren sucht ein Brite auf einer Mülldeponie nach seiner alten Festplatte. Denn auf dieser soll sich ein Vermögen in Höhe von aktuell mehr als 700 Millionen Euro befinden. Jetzt wird die Geschichte von Howell und seiner Suche nach der Bitcoin-Wallet sogar verfilmt. […]

Komfort-Features im Festnetz entfallen – Telekom streicht Funktionen

Komfort-Features im Festnetz entfallen

Telekom streicht Funktionen

Die Telekom streicht gleich mehrere Features aus ihrem Online-Telefoniecenter. Festnetz-Kunden können ab Mitte Juni nicht mehr auf bestimmte Komfort-Funktionen, wie beispielsweise die Blockierung einzelner Rufnummern oder den automatischen Rückruf zurückgreifen. […]

Android-Nutzer ausspioniert – Meta und Yandex schnüffeln bei App-Usern

Android-Nutzer ausspioniert

Meta und Yandex schnüffeln bei App-Usern

Sicherheitsforscher haben herausgefunden, dass Android-User von Meta und Yandex de-anonymisiert werden. Mit verdeckten Trackern konnten die Unternehmen Datenschutzvorkehrungen umgehen und so ohne Zustimmung der User an die Nutzeridentitäten gelangen. […]

Online-Shops – automatische Newsletter ohne Zustimmung nicht erlaubt

Online-Shops

Automatische Newsletter ohne Zustimmung nicht erlaubt

Wer sich in einem Online-Shop registriert, willigt nicht automatisch in den Erhalt von elektronischer Werbezusendung ein. Dies hat das Landgericht Berlin entschieden. Ohne eine separate Einwilligung des Verbrauchers darf ein Online-Shop keine automatischen Newsletter versenden. […]

Neuer Standard für USB-C – universeller Stecker soll Realität werden

Neuer Standard für USB-C

Universeller Stecker soll Realität werden

Microsoft führt ein Zertifizierungsprogramm ein, das dafür sorgen soll, dass der USB-C-Port endlich auch in Wirklichkeit zum universellen Stecker wird. Künftig sind Hersteller, die das Betriebssystem Windows 11 auf ihren Geräten vorinstallieren wollen, an konkrete Anforderungen gebunden. […]