DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

T-Mobile Österreich blamierte sich mit einer Aussage über Passwort-Sicherheit bis auf die Knochen.

Eine kurze Frage an T-Mobile Österreich endete für den Mobilfunkanbieter im Fiasko

Der österreichische Mobilfunkprovider T-Mobile Austria steckt seit Tagen im Shitstorm. Heute gab das Unternehmen zu, Kundenpasswörter unverschlüsselt zu speichern. Ein Drama in zehn Akten.



Eine simple Anfrage einer Nutzerin an den T-Mobile-Kundendienst endete für den österreichischen Mobilfunkanbieter in einem Desaster: Eine Frau fragte via Twitter, ob T-Mobile Austria Kunden-Passwörter unverschlüsselt speichere. Das wäre höchst unverantwortlich, da so bei einem Datendiebstahl Hunderttausende Passwörter von Kriminellen sofort missbraucht werden könnten (da sie eben nicht entschlüsselt werden müssten). Die Frage markierte den Auftakt des Passwort-Skandals.

Begonnen hat alles vor fünf Tagen mit diesem Tweet:

Bild

Eine Social-Media-Mitarbeiterin bei T-Mobile antwortete, dass die Kundendienst-Mitarbeiter nur die ersten vier Zeichen des Passwortes sehen können, man aber das ganze Passwort speichere, da es für das Login benötigt werde. Ob die Passwörter verschlüsselt oder unverschlüsselt gespeichert werden, blieb aus ihrer Antwort zunächst unklar.

Der Vorteil des Verschüsselns bzw. Hashens von Passwörtern erklärt das deutsche Techportal Golem so: «Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, dann hat man keinen direkten Zugriff auf die Passwörter.»

Passwort unverschlüsselt? Na und? Wo ist das Problem?

Die Twitter-Nutzerin hakte nach und machte T-Mobile darauf aufmerksam, dass es keine gute Idee sei, Passwörter im Klartext in einer Datenbank zu speichern. Tags darauf antwortet eine andere Kundendienst-Mitarbeiterin ebenfalls via Twitter: «Hi, ich verstehe wirklich nicht, warum das ein Problem sein sollte?» Die Kundendienst-Angestellte lässt sich gar zur Aussage hinreissen, die Sicherheit von T-Mobile Austria wäre «amazingly good», also unglaublich gut. Kunden bräuchten sich daher keine Sorgen zu machen.

Bild

Der Kundendienst von T-Mobile meinte also, dass das Speichern der Passwörter kein Problem sei, denn ihre Sicherheit sei «unglaublich gut».

Dieser unbedarfte Äusserung war natürlich eine Steilvorlage für alle IT-Sicherheitsexperten und Hacker, welche der Sicherheit bei T-Mobile nun auf den Zahn fühlten.

Das Desaster nimmt seinen Lauf:

Als der bekannte IT-Sicherheitsforscher Troy Hunt, der hinter der Passwort-Datenbank «HaveIBeenPwnd» steckt, den Tweet von T-Mobile teilte, brach unter dem Hashtag #amazingsecurity eine Flut an User-Kommentaren los. Dabei macht der T-Mobile-Kundendienst einmal mehr eine miserable Falle:

Jetzt kommt es Knüppeldick: T-Mobile wird von Hackern vorgeführt

Weltweit machten sich IT-Experten in den letzten Tagen einen Spass daraus, Sicherheitslücken beim österreichischen Mobilfunkanbieter aufzuspüren – und davon gibt es offenbar gleich mehrere.

Die unbedachten bis unverschämten Antworten der Social-Media-Mitarbeiterin machten T-Mobile innert Stunden zur Lachnummer im Netz – und zum Angriffsziel von Hackern

Schnell wird klar: Die Webseite von T-Mobile Österreich wird offenbar mit uralter, löchriger Software betrieben

Auch die Wordpress-Version ist veraltet.

Das deutsche Techportal Golem spürte in kurzer Zeit eine gravierende Sicherheitslücke bei der österreichischen Tochterfirma der Deutschen Telekom auf. Bei mehreren Blogs von T-Mobile Österreich konnte Golem das so genannte Git-Repository herunterladen. Durch diese Sicherheitslücke wäre es leicht möglich gewesen, die entsprechenden Webseiten zu übernehmen.

«Im Repository unter blogs.t-mobile.at fand sich eine Wordpress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden. Wir haben das Problem an T-Mobile Österreich gemeldet. Der Zugriff auf das entsprechende Verzeichnis ist inzwischen gesperrt.»

Golem

Kriminelle Hacker könnten so beispielsweise über die T-Mobile-Website Schadsoftware ausliefern oder mittels eines Kryptominers (Programm, das Kryptocoins schürft) die Prozessorleistung der Webseitenbesucher missbrauchen.

Mehrere weitere Schwachstellen in der T-Mobile-Website lassen es zu, dass Hacker beliebige Fehlermeldungen ausgeben können, zum Beispiel: «Viele Grüsse an die IT-Abteilung» oder «What if this doesn't happen because our security is amazingly good?».

Mit solchen Fehlermeldungen auf der Website des Mobilfunkanbieters machen sich Hacker über T-Mobile lustig

Bild

Spott und Häme für «Amazingly Good Security»

Auf die blauäugige Social-Media-Mitarbeiterin (wir erinnern uns: «Amazingly Good Security») hagelte es Spott und Häme. IT-Experten aus aller Welt machten sich über T-Mobile und die Kundendienst-Mitarbeiterin lustig.

Brisant: Sind die Passwörter im Klartext gespeichert, braucht es nicht mal einen Hackerangriff für den Daten-GAU. Die Kundendaten könnten auch von einem Mitarbeiter geklaut und auf dem Schwarzmarkt verkauft werden.

In Anspielung auf den Sicherheitsbegriff Security through obscurity (die Sicherheit eines Systems gewährleisten, indem seine Funktionsweise geheim gehalten wird), bezeichneten Twitter-Nutzer die Sicherheitsvorkehrungen bei T-Mobile spöttisch als «Sicherheit durch Zuversicht», «Sicherheit durch Selbstvertrauen» oder «Sicherheit durch Glauben».

Es wird unschön: Twitter-Nutzer fordern den Kopf der Kundendienst-Mitarbeiterin

Der Shitstorm ging zuletzt soweit, dass Twitter-Nutzer die Entlassung der T-Mobile-Mitarbeiterin forderten.

Doch: Verantwortlich dafür, dass die Passwörter unverschlüsselt gespeichert werden, ist die Firma T-Mobile Österreich bzw. ihr IT-Chef und nicht die vorlaute Kundendienst-Mitarbeiterin.

Nun eilt sogar die Frau, welche den Stein mit ihrer Passwort-Frage ins Rollen gebracht hat, der gescholten Kundendienst-Mitarbeiterin zu Hilfe.

T-Mobile Österreich versucht sich herauszureden

Zwei Tage nach der ursprünglichen Anfrage, die zum Shitstorm geführt hat, versuchte T-Mobile-Austria via Twitter zu beruhigen. Der Mediensprecher schrieb, die Kunden-Passwörter seien sicher in einer passwortgeschützten Datenbank gespeichert. Ob die Passwörter selbst verschlüsselt sind, sagte er weiterhin nicht.

Der Chef von T-Mobile Österreich kriecht zu Kreuze

Am Wochenende ging der Shitstorm weiter. Nun haute der CEO selbst in die Tasten und verkündete auf Twitter:

T-Mobile Österreich räumt Schwachstellen ein

Nachdem das Unternehmen tagelang versuchte, den Shitstorm auszusitzen, gab T-Mobile Österreich heute erstmals klipp und klar Fehler zu. Dem Newsportal Futurezone sagte eine Mediensprecherin am Montag:

«Wir nehmen die Diskussionen über Security-Standards sehr ernst und werden darum weitere Massnahmen setzen. Dazu wird künftig das Online-Passwort ‹gesalted› und gehashed abgespeichert, dies gilt derzeit als State-of-the-Art. Für weitere Kanäle wie Shops und Callcenter werden wir ein zweites Sicherheitskriterium einführen. Diese Massnahmen werden so rasch wie möglich umgesetzt.»

T-Mobile Austria futurezone

Im Klartext: Die Passwörter waren offenbar bislang nicht oder nicht vollständig verschlüsselt.

Ein Happy-End für die Kundendienst-Mitarbeiterin

Die unbedarfte Kundendienst-Mitarbeiterin darf ihren Job behalten. Ob der IT-Sicherheitschef ebenfalls mit einem blauen Auge davonkommen wird, werden wir sehen ...

Bonus: Es geht noch viel schlimmer

Wer nun denkt, die Sicherheitspraxis bei T-Mobile Österreich sei lausig, sollte mal bei UPC Österreich nachfragen:

Diese 5 Artikel könnten dich auch interessieren:

100 lustige und skurrile Witze, die nur Nerds verstehen

1 / 102
100 lustige und skurrile Witze, die nur Nerds verstehen
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Hacker übernimmt die Kontrolle über selbstfahrendes Auto

Video: srf

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel