Einsicht in Einzelverbindungsnachweise

Massives Datenleck bei 1 und 1

Ein TecChannel-Leser hat beim Internetprovider 1 & 1 eine massive Sicherheitslücke gefunden. Dieses ermöglichte selbst Laien, detailierte Einzelverbindungsnachweise von Kunden des Providers 1&1 einzusehen.

Wie würden Sie sich fühlen, wenn jedermann Ihre Verbindungsdaten einsehen kann? Also sieht, wann Sie von welcher Telefonnummer aus wie lange mit welcher Gegenstelle telefoniert haben, und was Sie das gekostet hat? Oder welche DSL-Verbindung Sie zuhause nutzen? Vor allem die Verbindungsdaten sind nichts, was man mit der Öffentlichkeit teilen möchte.

Wie ein TecChannel-Leser aber bei der Durchsicht seiner Rechnungen feststellte, sind genau diese sensiblen Daten bei 1 & 1 völlig ungeschützt. Wie Tecchannel-Tests bestätigen, zeigt die Seite der Einzelverbindungsnachweise nach einer simplen Modifikation der URL statt der eigenen Nutzerdaten die Verbindungsdaten anderer Kunden.

Einzelverbindungsnachweis: Über die Lücke lassen sich genaue Verbindungsinformationen auslesen.
Einzelverbindungsnachweis: Über die Lücke lassen sich genaue Verbindungsinformationen auslesen.

TecChannel hat 1 & 1 bereits informiert, damit die Sicherheitslücke schnellst möglich geschlossen werden kann. Pressesprecherin Ingrun Senft versichert uns gegenüber, dass 1&1 die Lücke sehr ernst nehme. Man sei zuversichtlich, das Problem schnell in den Griff zu bekommen.

Update 02.02.2009 16:50: Als Gegenmaßnahme hat 1&1 den Zugriff auf Einzelverbindungsnachweise vorübergehend deaktiviert. Laut der Sprecherin Ingrun Senft soll die Anzeige der Einzelverbindungsnachweise voraussichtlich im Laufe des heutigen Tages wieder möglich sein. Nach eigenen Angaben ist 1&1 noch kein Missbrauchsfall bekannt.

Update 03.02.2009: Wie uns 1&1 per E-Mail mitteilt, ist die Sicherheitslücke behoben und der Zugriff auf EVNs wieder möglich. Die Kundeninformationen werden nun korrekt abgefragt, ein Zugriff auf andere Verbindungsnachweise war in unserem Test nicht mehr möglich.