Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

T-Mobile Österreich blamierte sich mit einer Aussage über Passwort-Sicherheit bis auf die Knochen.

Eine kurze Frage an T-Mobile Österreich endete für den Mobilfunkanbieter im Fiasko

Der österreichische Mobilfunkprovider T-Mobile Austria steckt seit Tagen im Shitstorm. Heute gab das Unternehmen zu, Kundenpasswörter unverschlüsselt zu speichern. Ein Drama in zehn Akten.

09.04.18, 18:11 14.08.18, 08:20


Eine simple Anfrage einer Nutzerin an den T-Mobile-Kundendienst endete für den österreichischen Mobilfunkanbieter in einem Desaster: Eine Frau fragte via Twitter, ob T-Mobile Austria Kunden-Passwörter unverschlüsselt speichere. Das wäre höchst unverantwortlich, da so bei einem Datendiebstahl Hunderttausende Passwörter von Kriminellen sofort missbraucht werden könnten (da sie eben nicht entschlüsselt werden müssten). Die Frage markierte den Auftakt des Passwort-Skandals.

Begonnen hat alles vor fünf Tagen mit diesem Tweet:

Eine Social-Media-Mitarbeiterin bei T-Mobile antwortete, dass die Kundendienst-Mitarbeiter nur die ersten vier Zeichen des Passwortes sehen können, man aber das ganze Passwort speichere, da es für das Login benötigt werde. Ob die Passwörter verschlüsselt oder unverschlüsselt gespeichert werden, blieb aus ihrer Antwort zunächst unklar.

Der Vorteil des Verschüsselns bzw. Hashens von Passwörtern erklärt das deutsche Techportal Golem so: «Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, dann hat man keinen direkten Zugriff auf die Passwörter.»

Passwort unverschlüsselt? Na und? Wo ist das Problem?

Die Twitter-Nutzerin hakte nach und machte T-Mobile darauf aufmerksam, dass es keine gute Idee sei, Passwörter im Klartext in einer Datenbank zu speichern. Tags darauf antwortet eine andere Kundendienst-Mitarbeiterin ebenfalls via Twitter: «Hi, ich verstehe wirklich nicht, warum das ein Problem sein sollte?» Die Kundendienst-Angestellte lässt sich gar zur Aussage hinreissen, die Sicherheit von T-Mobile Austria wäre «amazingly good», also unglaublich gut. Kunden bräuchten sich daher keine Sorgen zu machen.

Der Kundendienst von T-Mobile meinte also, dass das Speichern der Passwörter kein Problem sei, denn ihre Sicherheit sei «unglaublich gut».

Dieser unbedarfte Äusserung war natürlich eine Steilvorlage für alle IT-Sicherheitsexperten und Hacker, welche der Sicherheit bei T-Mobile nun auf den Zahn fühlten.

Das Desaster nimmt seinen Lauf:

Als der bekannte IT-Sicherheitsforscher Troy Hunt, der hinter der Passwort-Datenbank «HaveIBeenPwnd» steckt, den Tweet von T-Mobile teilte, brach unter dem Hashtag #amazingsecurity eine Flut an User-Kommentaren los. Dabei macht der T-Mobile-Kundendienst einmal mehr eine miserable Falle:

Jetzt kommt es Knüppeldick: T-Mobile wird von Hackern vorgeführt

Weltweit machten sich IT-Experten in den letzten Tagen einen Spass daraus, Sicherheitslücken beim österreichischen Mobilfunkanbieter aufzuspüren – und davon gibt es offenbar gleich mehrere.

Die unbedachten bis unverschämten Antworten der Social-Media-Mitarbeiterin machten T-Mobile innert Stunden zur Lachnummer im Netz – und zum Angriffsziel von Hackern

Schnell wird klar: Die Webseite von T-Mobile Österreich wird offenbar mit uralter, löchriger Software betrieben

Auch die Wordpress-Version ist veraltet.

Das deutsche Techportal Golem spürte in kurzer Zeit eine gravierende Sicherheitslücke bei der österreichischen Tochterfirma der Deutschen Telekom auf. Bei mehreren Blogs von T-Mobile Österreich konnte Golem das so genannte Git-Repository herunterladen. Durch diese Sicherheitslücke wäre es leicht möglich gewesen, die entsprechenden Webseiten zu übernehmen.

«Im Repository unter blogs.t-mobile.at fand sich eine Wordpress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden. Wir haben das Problem an T-Mobile Österreich gemeldet. Der Zugriff auf das entsprechende Verzeichnis ist inzwischen gesperrt.»

Golem

Kriminelle Hacker könnten so beispielsweise über die T-Mobile-Website Schadsoftware ausliefern oder mittels eines Kryptominers (Programm, das Kryptocoins schürft) die Prozessorleistung der Webseitenbesucher missbrauchen.

Mehrere weitere Schwachstellen in der T-Mobile-Website lassen es zu, dass Hacker beliebige Fehlermeldungen ausgeben können, zum Beispiel: «Viele Grüsse an die IT-Abteilung» oder «What if this doesn't happen because our security is amazingly good?».

Mit solchen Fehlermeldungen auf der Website des Mobilfunkanbieters machen sich Hacker über T-Mobile lustig

Spott und Häme für «Amazingly Good Security»

Auf die blauäugige Social-Media-Mitarbeiterin (wir erinnern uns: «Amazingly Good Security») hagelte es Spott und Häme. IT-Experten aus aller Welt machten sich über T-Mobile und die Kundendienst-Mitarbeiterin lustig.

Brisant: Sind die Passwörter im Klartext gespeichert, braucht es nicht mal einen Hackerangriff für den Daten-GAU. Die Kundendaten könnten auch von einem Mitarbeiter geklaut und auf dem Schwarzmarkt verkauft werden.

In Anspielung auf den Sicherheitsbegriff Security through obscurity (die Sicherheit eines Systems gewährleisten, indem seine Funktionsweise geheim gehalten wird), bezeichneten Twitter-Nutzer die Sicherheitsvorkehrungen bei T-Mobile spöttisch als «Sicherheit durch Zuversicht», «Sicherheit durch Selbstvertrauen» oder «Sicherheit durch Glauben».

Es wird unschön: Twitter-Nutzer fordern den Kopf der Kundendienst-Mitarbeiterin

Der Shitstorm ging zuletzt soweit, dass Twitter-Nutzer die Entlassung der T-Mobile-Mitarbeiterin forderten.

Doch: Verantwortlich dafür, dass die Passwörter unverschlüsselt gespeichert werden, ist die Firma T-Mobile Österreich bzw. ihr IT-Chef und nicht die vorlaute Kundendienst-Mitarbeiterin.

Nun eilt sogar die Frau, welche den Stein mit ihrer Passwort-Frage ins Rollen gebracht hat, der gescholten Kundendienst-Mitarbeiterin zu Hilfe.

T-Mobile Österreich versucht sich herauszureden

Zwei Tage nach der ursprünglichen Anfrage, die zum Shitstorm geführt hat, versuchte T-Mobile-Austria via Twitter zu beruhigen. Der Mediensprecher schrieb, die Kunden-Passwörter seien sicher in einer passwortgeschützten Datenbank gespeichert. Ob die Passwörter selbst verschlüsselt sind, sagte er weiterhin nicht.

Der Chef von T-Mobile Österreich kriecht zu Kreuze

Am Wochenende ging der Shitstorm weiter. Nun haute der CEO selbst in die Tasten und verkündete auf Twitter:

T-Mobile Österreich räumt Schwachstellen ein

Nachdem das Unternehmen tagelang versuchte, den Shitstorm auszusitzen, gab T-Mobile Österreich heute erstmals klipp und klar Fehler zu. Dem Newsportal Futurezone sagte eine Mediensprecherin am Montag:

«Wir nehmen die Diskussionen über Security-Standards sehr ernst und werden darum weitere Massnahmen setzen. Dazu wird künftig das Online-Passwort ‹gesalted› und gehashed abgespeichert, dies gilt derzeit als State-of-the-Art. Für weitere Kanäle wie Shops und Callcenter werden wir ein zweites Sicherheitskriterium einführen. Diese Massnahmen werden so rasch wie möglich umgesetzt.»

T-Mobile Austria futurezone

Im Klartext: Die Passwörter waren offenbar bislang nicht oder nicht vollständig verschlüsselt.

Ein Happy-End für die Kundendienst-Mitarbeiterin

Die unbedarfte Kundendienst-Mitarbeiterin darf ihren Job behalten. Ob der IT-Sicherheitschef ebenfalls mit einem blauen Auge davonkommen wird, werden wir sehen ...

Bonus: Es geht noch viel schlimmer

Wer nun denkt, die Sicherheitspraxis bei T-Mobile Österreich sei lausig, sollte mal bei UPC Österreich nachfragen:

Diese 5 Artikel könnten dich auch interessieren:

100 lustige und skurrile Witze, die nur Nerds verstehen

Hacker übernimmt die Kontrolle über selbstfahrendes Auto

Video: srf

Hol dir die App!

Markus Wüthrich, 5.5.2017
Tolle Artikel jenseits des Mainstreams. Meine Hauptinformations- und Unterhaltungsquelle.

Abonniere unseren Daily Newsletter

37
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
37Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sarkasmusdetektor 10.04.2018 15:37
    Highlight Mobility fragte den PIN-Code jeweils am Telefon ab, sprich sogar jeder Callcenter-Mitarbeiter sieht den PIN. War zumindest vor ein paar Jahren so, hab's eine Weile nicht mehr benutzt. Hab auch mal versucht, der Dame am Telefon zu erklären, dass das grob fahrlässig ist, aber die hat das natürlich auch nicht verstanden.
    1 1 Melden
    • antoinet 11.04.2018 06:43
      Highlight Bei einer PIN ist der Vorteil von Hashing nicht ganz gegeben, da der Raum der möglichen Kombinationen so klein ist (10000 bei 4 bzw 100000 bei 6 Ziffern). Durch Bruteforcing hat man die Hashes in Minuten geknackt...
      1 0 Melden
  • siorpaesas 10.04.2018 09:30
    Highlight Dass Passwörter in Klartext abgespeichert werden, ist leider - und vor allem bei grösseren Unternehmen - eher die Regel als die Ausnahme. Es kostet einen langem Atem und viele Nerven, die Unternehmen dazu zu bringen, das nötige Budget zu sprechen für eine gute Absicherung der Daten. Meistens hört man darauf angesprochen einfach lapidar "Das ist momentan nicht unsere oberste Priorität. Wir werden uns zu gegebenem Zeitpunkt aber wieder mit Ihnen in Verbindung setzen". Und drei Jahre später? Ist man meistens noch immer auf Feld eins..
    11 1 Melden
  • Shin Kami 10.04.2018 05:04
    Highlight Es kann doch wohl nicht so schwer sein Passwörter zu verschlüsseln. Jede kleine Webseite kriegt sowas hin (oder sollte es zumindest) also wieso schafft das ein IT Unternehmen selbst nicht? Der Kundendienst kann nichts dafür, die haben zwar auch keine Ahnung von der Technik aber das ist ja auch nicht wirklich deren Aufgabe...
    19 2 Melden
    • fireboltfrog 10.04.2018 13:26
      Highlight Verschlüsseln ist auch nicht gut (siehe Adobe), Passwörter sollte man Hashen.
      7 0 Melden
  • Adumdum 10.04.2018 00:18
    Highlight Böses Facebook!! 😳 oh, wait..
    4 15 Melden
  • Thomas Bollinger (1) 09.04.2018 23:14
    Highlight Ich wurde dieses Wochenende vom Ricardo.ch Support nach den letzten 3 Zeichen meines Passworts gefragt. Heisst das, Ricardo.ch speichert die PW auch im Klartext?
    23 0 Melden
    • James Blond 10.04.2018 00:19
      Highlight Nicht zwingend klartext aber sicher nicht in einer Art und Weise wie man Passwörter speichern sollte.
      35 0 Melden
    • Shin Kami 10.04.2018 05:02
      Highlight Sobald ein Mitarbeiter einer Firma nach einem Passwort fragt, stimmt etwas mit der Firma nicht.
      49 0 Melden
  • Donald 09.04.2018 22:25
    Highlight Trotzdem sollte man nie zweimal das gleiche Passwort brauchen. Klartext Speicherung und Übertragung ist überall zu erwarten.
    22 3 Melden
  • Don Alejandro 09.04.2018 21:20
    Highlight Passwörter darf ausser der Kunde niemand sehen! Verschlüsselt auf dem Server und via Rücksetzungslink neu setzbar, aber bitte nach Mindestvorschriften. Käthe ist das Bauernopfer, die wirklichen Idioten sind die, welche eine solche Person für diese Position einstellen und sowas twittern lassen.
    54 0 Melden
  • Watson=Propagandahuren 09.04.2018 21:13
    Highlight Der neuste Tweet: "As we previously said we will implement further steps to secure passwords. Passwords will be salted and hashed, service agents will not be ablt to see any parts of passwords. We will implement this as quickly as possible."
    Meine Fresse. Jede Frickelbude kann das besser. Einem solchen Laden müssten die Behörden ALLE Telco-Lizenzen entziehen da es schon beim allernötigsten scheitert.
    25 1 Melden
  • felixJongleur 09.04.2018 21:10
    Highlight "... dies gilt derzeit als State-of-the-Art.. "

    Nicht im Ernst oder? :))
    29 0 Melden
  • antoinet 09.04.2018 20:57
    Highlight leave her alone...
    42 11 Melden
  • NotWhatYouExpect 09.04.2018 20:54
    Highlight Achja die Klartext Passwörter... die wird man nie los, denn auch hier in der Schweiz gibt es viele Online Shops / Dienste die auf veralteter Software basiert oder von "anfängern" Programmiert werden.

    Darum ist es wichtig nie ein Passwort zweimal zu nutzen! Benutzt einen Passwort Manager!


    Btw. könnte jemand mal Swisscom fragen warum die das Wifi Passwort im Klartext speichern und im Kundencenter ausgeben? Oder zumindest wie Sie es Schützen?
    32 2 Melden
    • Hierundjetzt 09.04.2018 22:08
      Highlight Wen interessiert schon Dein wifi passwort? Zudem musst Du Dich ja zuerst mittels Login im Kundencenter Identifizieren.

      Die wirklich wichtigen PW (E-Mail zB) sind allesamt nicht ersichtlich. Vergisst Du ein PW musst Du ein neues setzen.

      Exakt auch darum bin ich bei Swisscom.
      7 32 Melden
    • NotWhatYouExpect 10.04.2018 15:46
      Highlight Man muss immer damit rechnen, dass eine Person eine andere nicht mag.

      Dadurch ist es z.B. einem Swisscom Mitarbeiter möglich sich mit deinem Wifi zu verbinden und Daten abgraben. Oder noch besser er stellt seinen Hotspot hin und lässt den gesamten Traffic über sich laufen und kann so schön alles abfangen.

      Darum möchte ich wissen wie es verschlüsselt ist! Es darf nicht sein, dass ein Swisscom oder irgend ein anderer Mitarbeiter ein Passwort eines Kunden sehen kann!
      1 0 Melden
  • PenPen 09.04.2018 20:44
    Highlight Die Loyalität von Käthe ist bewundernswert. Ich möchte mal ein Salt oder Sunrise agent sehen, der oder die sich so für den Arbeitgeber ins Zeug legt.
    33 8 Melden
  • swizz 09.04.2018 20:39
    Highlight Nach meinem letzten Kontakt (vor 3-4 Jahren) muss ich annehmen, dass das bei bluwin auch so ist. Ich musste nach langem hin und her dem Supporter mein Passwort sagen, sonst könne er mir nicht helfen 😳
    20 13 Melden
    • Hierundjetzt 09.04.2018 22:10
      Highlight a) gibt es seit bald 10 Jahren kein Bluewin mehr. B) kannst Du seit Jahren (!) kein PW mehr via Kundendienst mehr erfahren.

      Hast Du es vergessen musst Du via Kundencenter ein neues setzen.

      Kurz, deine Story ist frei erfunden aiaia swizz...
      35 8 Melden
    • Charlie B. 10.04.2018 08:49
      Highlight Kann ich bestätigen. Musste vor ein paar Jahren auch mein Passwort dem SC Support angeben sonst könne mir nicht geholfen werden. Das muss aber nicht unbedingt heissen, dass die Passwörter unverschlüsselt gespeichert wurden. Wie es heute gehandhabt wird kann ich nicht sagen.
      6 0 Melden
  • Hugeyun 09.04.2018 20:32
    Highlight Beim nächsten „Internetkrieg“ bitte auf eine Sprache einigen bitte, OK?
    (Die österreichische Telekom versteht imfall auch deutsch.)
    12 23 Melden
    • Aladdin 09.04.2018 22:56
      Highlight Wenn du dem „Deutsch“ sagen willst . . .
      6 5 Melden
  • aye 09.04.2018 20:16
    Highlight Wer bei Salt das neue Fiber Internetangebot abonniert, erhält seinen Nutzernamen und das zugehörige Passwort unverschlüsselt per E-Mail zugestellt.
    Macht ja nichts, kann man schliesslich ändern (auch wenn man beim Login nicht automatisch dazu aufgefordert wird). Aber überrascht es wirklich jemanden, dass das selbst gewählte neue Passwort dann ebenfalls im Klartext per E-Mail verschickt wird?

    Immerhin: Beim Nutzen der Passwort-vergessen Funktion erhält man einen Link zum Zurücksetzen, nicht das Passwort selbst.

    Watson, erkundigt euch doch mal, was das soll... Vielleicht bringt's ja was. 🤷‍♂️
    64 0 Melden
    • birdiee 10.04.2018 00:16
      Highlight Hab ich mir heute auch gedacht...
      Nachdem ich Mitteilungen in 3 verschiedenen Sprachen erhalten habe (Deutsch im Portal, Englisch im E-Mail und Französisch per SMS)
      9 0 Melden
  • edögähn 09.04.2018 19:50
    Highlight "gesaltet und gehashed" weil "state-of-the-art". wow mir kommt es so vor als würde der noch mit gelbem einzahlungsbüchlein zur post rennen und hätte heute das e-banking entdeckt.
    45 2 Melden
  • The oder ich 09.04.2018 19:37
    Highlight Man soll ja nicht über Namen spotten, aber wenn der Chef "Bierwirth" heisst, fällt das wirklich schwer
    19 14 Melden
  • Watson=Propagandahuren 09.04.2018 19:23
    Highlight Wow, der verantwortliche T-Mobile twitterer hat wohl Glück dass er überhaupt selbständig auf einem Bürostuhl sitzen kann...
    83 9 Melden
  • Fox1Charlie 09.04.2018 19:19
    Highlight Das passiert wenn leute mit 25 Jahren “Berufserfahrung”(er ist eigentlich Elektriker aber hat sich in IT weitergebildet) führungspositionen in der IT Abteilung bekommen, statt kompetente Mitarbeiter einzustellen... leider selber in der IT schon oft erlebt...
    131 30 Melden
    • The Writer Formerly Known as Peter 10.04.2018 03:27
      Highlight Man kann sich das Wissen auch durch geeignete Weiterbildung aneignen. Das hat nichts damit zu tun was jemand vorher getan hat. Und für Führung braucht man mehr Kompetenz als nur Fachkompetenz!
      14 0 Melden
    • Asmodeus 10.04.2018 04:13
      Highlight Aber er hat sicher Mal den MCSE auswendig gelernt ohne je vor einem Server zu sitzen.
      3 2 Melden
    • konstruktor 10.04.2018 12:41
      Highlight Ach mein lieber Fuchs, wie mancher Fachexperte ich schon auf einem Chefsessel sitzen sah und obwohl Akademiker mit allen Facetten die emotionale Intelligenz so zu wünschen übrig lies, dass ein Erbschen mehr Sozialkompetenz bewiess. Nicht Alles
      was hinkt ist ein Vergleich.
      3 1 Melden
  • crik 09.04.2018 19:14
    Highlight Kleine Ergänzung: Auch bei T mobile USA werden Passwörter in Klartext gespeichert. Weiss ich, da ich mal im Shop mein Passwort nennen musste, und der Mitarbeiter mir sagte, bis auf einen Buchstaben sei es korrekt (er hatte mich falsch verstanden). Ich war schon ziemlich erstaunt, dass er mein Passwort vor sich auf dem Computer hatte.
    155 1 Melden
    • Til 09.04.2018 22:10
      Highlight Wenn er das Passwort am Bildschirm sieht, heisst das übrigens noch lange nicht, dass es im Klartext auf der DB gespeichert ist. Deshalb bezweifle ich auch, das "Käthe" überhaupt wusste, ob oder ob nicht.
      4 17 Melden
    • Markus Ritzmann 09.04.2018 22:41
      Highlight @Til: Na, aber es ist zumindest nicht gesalzen und gehast. Ergo: Unter dem Strich ungenügend.
      18 0 Melden
  • welefant 09.04.2018 19:09
    Highlight twitter macht die welt noch krank!
    12 55 Melden
    • gupa 09.04.2018 19:17
      Highlight Oder in diesem Fall besser 😉
      79 2 Melden

Tausende Schweizer fallen gerade auf diesen Facebook-Betrug herein – das steckt dahinter

Seit einigen Wochen grassiert im deutschsprachigen Raum eine regelrechte Welle an Fake-Gewinnspielen. Auf Facebook gebe es so viele betrügerische Gewinnspiele «wie noch nie», schreibt das auf Online-Betrug spezialisierte Portal Mimikama.

Betrüger machen im Namen bekannter Marken wie Aldi, MediaMarkt oder Ikea mit vermeintlichen Verlosungen gezielt Jagd auf Postadressen, E-Mail-Adressen und Telefonnummern von Facebook-Nutzern. 

Obwohl die Masche alt ist, fallen im Moment wieder …

Artikel lesen