Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

T-Mobile

Quelle: mandritoiu / Shutterstock.com

Ein Fehler auf einer Subdomain des Mobilfunkers T-Mobile US hat es leicht gemacht, Kundendaten zu klauen. Dank einer unsicheren Programmierschnittstelle (API) war es möglich, mithilfe einer Telefonnummer umfassende Informationen über deren Inhaber abzurufen.

Zwar ist die Lücke mittlerweile geschlossen und laut T-Mobile sei diese auch nicht ausgenutzt worden. Peinlich ist aber, dass die neue Lücke einer anderen ähnelt, die schon im Oktober 2017 publik wurde.

Alle Daten für die Nummer

Die vom Sicherheitsforscher Ryan Stevenson entdeckte Lücke war auf der Subdomain promotool.t-mobile.com zu finden. Diese ist eigentlich als Kundenservice-Portal für Mitarbeiter gedacht, das Zugriff auf interne Tools erlaubt, findet sich aber auch in den Ergebnissen von Suchmaschinen. Die Seite enthielt eine versteckte API, die bei Anfügen einer Mobiltelefonnummer am Ende der Webadresse umfassende T-Mobile-Kundendaten lieferte. Das Problem: Die API war nicht mittels Passwort oder anderwärtig geschützt, um einen Zugriff durch Unbefugte zu verhindern. Also konnte jeder diese Funktion nutzen.

Damit hätten Hacker einen echten Datenschatz erbeuten können, denn die so zugänglichen Kundendaten haben den vollen Namen, die Adresse und die Nummer des Abrechnungskontos umfasst. Teils waren auch Steuernummern einsehbar. In den Daten waren zudem Informationen zu Account-PINs enthalten, die bei Kontaktaufnahme mit dem telefonischen Kundendienst als Sicherheitsabfrage dienen. Damit wäre es einem Angreifer wohl möglich gewesen, die Kontrolle über ein Kundenkonto an sich zu reißen.

API-Wiederholungstäter

Stevenson, der die Sicherheitslücke mit Screenshots belegt hat, informierte T-Mobile Anfang April darüber. Das Unternehmen hat die API demnach am folgenden Tag deaktiviert. "Die Lücke wurde so schnell wie möglich geschlossen und wir haben keine Hinweise darauf, dass auf irgendwelche Kundendaten zugegriffen wurde", so ein Unternehmenssprecher. Die Tragweite eines unbefugten Massenzugriffs wäre potenziell gewaltig, immerhin hat T-Mobile US rund 74 Mio. Kunden.

Unklar ist, wie lange die Lücke bestand. Die betroffene Subdomain scheint in der Internet Archive Wayback Machine seit 12. Oktober 2017 auf. Kurz davor hatte ein Sicherheitsforscher eine ähnliche API-Sicherheitslücke auf einer anderen T-Mobile-Subdomain gemeldet und das Unternehmen eben diese geschlossen. "Motherboard" konnte zeigen, dass die damalige Lücke zumindest seit Anfang August 2017 unter Hackern bekannt war. T-Mobile hatte dennoch dementiert, dass es Auswirkungen auf Kunden-Accounts gegeben habe.

pressetext.com

GRID LIST
Tb W190 H80 Crop Int F14ee4d1a775288daf282460e916d8a4

Huawei bietet Deutschland "No-Spy-Abkommen" an

Der Gründer des umstrittenen chinesischen Telekommunikationskonzerns Huawei, Ren…
Intel

Intel steigt bei 5G-Modems für Handys aus

Der US-Chipriese Intel steigt aus dem Geschäft mit 5G-Smartphone-Modems aus. Damit räumt…
Hacker Pst

Hacked: IT-Outsourcer Wipro schon seit Monaten infiltriert

Der drittgrößte indische IT-Outsourcer Wipro mit einem Quartalsumsatz von knapp 2…
Tb W190 H80 Crop Int 6bdc56e6961272b052c0c50982dd529b

Facebook nächste Datenpanne - 1,5 Millionen Nutzern betroffen

Facebook hat die nächste Datenschutz-Panne entdeckt: Das Online-Netzwerk lud in den…
Tb W190 H80 Crop Int 0747dd80e942f79ab588725322df8ef0

Cubeware eröffnet Lab für Business-Intelligence-Forschung

Derzeit wird in allen Branchen und Lebensbereichen erforscht, wie Künstliche Intelligenz…
Tb W190 H80 Crop Int D51ac9d9c90b0aa8c3af9be24b4d1867

Apple und Qualcomm beenden Patentstreit

Apple und der Chip-Spezialist Qualcomm haben ihren erbitterten Patentstreit nach mehr als…