CCC: Sicherheitsdesaster im Web-Angebot der Telekom

Kundendaten für jedermann einsehbar. Der Chaos Computer Club (CCC) warnt vor erheblichen Sicherheitslücken bei der Telekom, sämtliche Online-Services des Dienstes T-Mart Web-Services, die auf dem sogenannten Framework "OBSOC" basieren, seien verwundar. Alle Benutzerkonten in diesen Systemen seien als kompromittiert zu betrachten, so der CCC in der "Datenschleuder".

26. Juli 2004 um 18:24 Uhr / Jens Ihlenfeld

Kommentare News folgen (öffnet im neuen Fenster)

Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es einem Benutzer erlauben würden, mit einfachsten Mitteln, beispielsweise einem einfachen Austauschen einer Kundennummer in einer Webadresse, auf fremde Kundendaten zuzugreifen. Dadurch ist es laut CCC möglich, dass ein beliebiger Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten erhalten kann, ohne dafür legitimiert zu sein.

Eine detaillierte Dokumentation der Abläufe findet sich in einem Artikel(öffnet im neuen Fenster) von Dirk Heringhaus. "Wenn auch von Seiten des Autors und der Redaktion Datenschleuder keine Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss davon ausgegangen werden, dass Angreifer mit genügend krimineller Energie sich in den Datenbeständen umgetrieben haben" , warnt der CCC.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

System Administrator (m/f/d) ATEM SD GmbH, Remscheid (öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

IT Application Specialist - CRM (m/w/d) im Bereich IT Commercial Systems Carthago Reisemobilbau GmbH, Aulendorf (öffnet im neuen Fenster)

Data Scientist - Mobility Analytics, Causal AI & Marketing Intelligence (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

IT-Softwareentwickler (m/w/d) KONRAD KLEINER GmbH, Mindelheim (öffnet im neuen Fenster)

Embedded Software Engineer (m/w/d) Sensorik & Messsysteme HYDROTECHNIK GmbH, Limburg an der Lahn (öffnet im neuen Fenster)

Softwareentwickler (m/w/d) Microsoft Dynamics 365 Business Central GWS Gesellschaft für Warenwirtschafts-Systeme mbH, Lauf an der Pegnitz (Nürnberg),München,Essen,Münster,Stuttgart (öffnet im neuen Fenster)

SAP-Koordinator (m/w/d) Freiburger Verkehrs AG, Freiburg im Breisgau (öffnet im neuen Fenster)

Heringhaus hat die Deutsche Telekom seit nunmehr einem Jahr wiederholt vertraulich auf die Sicherheitslücken hingewiesen. Anstatt deren Ursachen zu beheben, seien aber lediglich einige Symptome bekämpft worden. "Der CCC fordert daher jetzt die Deutsche Telekom AG öffentlich zu einer Stellungnahme und zur unverzüglichen Absicherung der Softwarebasis ihrer Kundenverwaltung auf. Der CCC fordert die Deutsche Telekom AG außerdem auf, umgehend ihre Kunden über dieses Problem zu informieren." , so der CCC in einer Presseerklärung.

Der CCC hat eine Liste mit offenen Fehlern am OBSOC-System und diversen Netzen an den Bundesbeauftragten für Datenschutz (BfD) übergeben, der diese an die Regulierungsbehörde für Telekommunikation und Post (RegTP) weiterleiten soll.

Damit sich aber auch die Öffentlichkeit ein ausführlicheres Bild vom OBSOC machen kann, hat der CCC ein Downloadpaket(öffnet im neuen Fenster) zusammengestellt, das alle öffentlich zugänglichen Informationsmaterialen enthält. Darunter auch einen ausführlicher Briefwechsel, den Dirk Heringhaus, der die Sicherheitslücken entdeckte, mit der Telekom und deren Anwälten geführt hat.

Das OBSOC-System lässt sich als Online-Vertragsverwaltung beschreiben, die alle relevanten Daten eines Vertrages beinhaltet, angefangen bei Kundendaten und Vertriebsdaten über die Art des Produktes bis hin zu Zusatzdaten zum Produkt und eventuelle Zusatzleistungen zum Produkt. Auf diese Daten kann jeder, entsprechend seiner Berechtigung, online zugreifen.

Zur Startseite Kommentare

Reklame Hier geht es zu den besten Deals auf Mobilfunk, Internet und mehr bei der Telekom

Relevante Themen