Datenpanne bei der Telekom: API ermöglicht Tracking von Festnetzanschlüssen
Die Sicherheitsforscherin Lilith Wittmann hat einen Weg gefunden, über ein Webportal spezifische Daten der Festnetzanschlüsse von jenen Besuchern auszulesen, die Kunden der Deutschen Telekom sind. Testen lässt sich der Datenabruf über die von der Forscherin bereitgestellte Webseite festnetz.cool(öffnet im neuen Fenster) . Der ursprüngliche Umfang der Daten ist in einem Mastodon-Beitrag von Wittmann(öffnet im neuen Fenster) zu sehen. Sie sollen ein dauerhaftes Tracking der Nutzer ermöglichen.
Die Datenabfrage erfolgt nach Angaben der Forscherin auf Basis der jeweiligen IP-Adresse. Zurückgegeben wurden Informationen über den gewählten Tarif, maximale Up- und Downloadraten, die Vorwahl des Anschlusses sowie eine Permanent ID, die unabhängig von der aktuellen IP-Adresse eine dauerhafte Identifikation des jeweiligen Festnetzanschlusses ermöglicht.
Die Tarifinformationen scheinen aber inzwischen nicht mehr verfügbar zu sein. Bei einem Test der Golem.de-Redaktion lieferte das Webportal nur noch die IP-Adresse, die Permanent ID sowie die Anschlussvorwahl. Möglicherweise hat die Telekom bereits Maßnahmen ergriffen, um den Datenabruf einzuschränken. Wer festnetz.cool über einen Nicht-Telekom-Anschluss aufruft, erhält eine entsprechende Fehlermeldung.
Datenpanne ruft Datenschützer auf den Plan
Einige Angaben auf Wittmanns Webseite sind gewiss als sarkastisch einzuordnen, zeigen aber, welche Möglichkeiten die entdeckten Anschlussdaten eröffnen. "Die hier verwendeten Daten werden mithilfe von Schnittstellen von staatlichen sowie privatwirtschaftlichen Akteuren in Echtzeit abgerufen" , schreibt Wittmann auf ihrer Webseite. "Wir arbeiten momentan mit unseren Partnern in der Wetter und Dating Industrie intensiv daran, einen innovativen IP-Geolokalisierung-Service auf Häuserblockebene anzubieten."
Unter Datenschutzexperten sorgt Wittmanns Entdeckung gewiss für Aufsehen. Chan-jo Jun, ein auf IT-Recht spezialisierter Anwalt und Mitglied des Bayerischen Verfassungsgerichtshofes, erklärt etwa auf X(öffnet im neuen Fenster) , es handle sich um "eine massive Datenpanne, die eine Meldung an die Betroffenen binnen 72 Std. nach Art. 33 DSGVO vorschreibt" .
"Wenn ich jetzt eine IP online mit einem Vertrag verknüpfen kann, kann ich ohne Ermittlungsbehörden jeden Nutzer auf lange Zeit zurückverfolgen. Das ist ja wie eine Vorratsdatenspeicherung" , so Jun. Ob und wann die Telekom ihre Kunden über den Vorfall informiert, wird sich erst noch zeigen müssen. Wittmann kommunizierte ihre Entdeckung erstmals am Samstagnachmittag öffentlich.
Nachtrag vom 15. Juli 2024, 12:30 Uhr
Wittmann hat inzwischen einen Blogbeitrag zu ihrer Entdeckung veröffentlicht(öffnet im neuen Fenster) , in dem sie weitere Details nennt. Darin verkündet sie auch, dass "festnetz.cool heute von der Telekom übernommen wurde" - das Datenleck ist also geschlossen. Telekom-Kunden, die das Webportal aufrufen, sehen folglich keine Anschlussdaten mehr.