CCC: Schwere Sicherheitslücken bei T-Com-Online-Service

Dirk Heringhaus, Autor der "Datenschleuder", hat schwer wiegende Fehler im Sicherheitssystem des Online Business Solution Operation Center (OBSOC) der T-Com ausgemacht. Das System wird von der Telekom-Tochter für die Verwaltung der Vertragsdaten genutzt. Außerdem wird darüber das System "T-Pay" abgewickelt, ein Bezahlsystem der T-Com.

Ein Kunde könnte durch Eingabe einer anderen Vertragsnummer in der URL der Website auf die Verträge anderer Kunden zugreifen, sogar eine Änderung wäre möglich. Selbiges war durch Änderungen der URL im Modul Zukauf möglich. Auch mit der Sicherheit der Benutzerkonten scheint es nicht weit her zu sein. Meldet sich ein neuer Kunde an, so schlägt das System einen Benutzernamen mit einer Zahl vor, beispielsweise Schmidt99. Die Zahl zeigt allerdings an, dass es bereits 98 Versionen dieses Benutzernamens gibt. Das Kennwort muss acht Stellen lang sein und mindestens eine Zahl enthalten. Allerdings ist eine Wiederholung des Benutzernamens erlaubt.

Heringhaus gibt an, dass er eine beachtliche Zahl an Übereinstimmungen gefunden hat. Er vergleicht das Sicherheitssystem mit einem Schließfach, dessen Tür aus Pappe ist. Außerdem gab es laut Heringhaus Konten mit den Kennungen internet1 oder telekom1. Auch hier war das Passwort der Benutzername. Von diesen Konten war ein erweiterter Zugriff auf Kundendaten möglich.

Heringhaus beschreibt in seinem Artikel, wie er mit Hilfe von Methoden, die jedem Internetnutzer zur Verfügung stehen, Administratorrechte auf dem System erlangte. Laut CCC kann man allein durch dieses Wissen Einblick in Kundendaten erhalten. Angreifer mit kriminellen Absichten könnten durch Änderungen auch noch größeren Schaden anrichten.

Die Telekom hat zu diesen Vorwürfen noch keine Stellungnahme abgegeben. Zu den Kunden, die im OBSOC gespeichert sind, gehören auch die Deutsche Bundesbank, der Bundesgrenzschutz und der Bundesnachrichtendienst. Den gesamten Artikel des CCC finden Sie hier. (mja)