T-Mobile Österreich: Klartextpasswörter und "amazing Security" bei T-Mobile.at

Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern.

Artikel veröffentlicht am , Hanno Böck
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme.
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme. (Bild: T-Mobile Österreich / Screenshot)

Eine Twitter-Diskussion mit dem Kundenservice von T-Mobile Österreich sorgte gestern für einige Aufregung. Denn wie der Kundenservice zugab, speichere man Passwörter im Klartext. Das sei aber kein Problem, denn man habe "amazing Security". Das führte dazu, dass sich einige Nutzer die Webseiten von T-Mobile genauer ansahen - und einige Sicherheitsprobleme fanden. Der Autor dieses Texts fand innerhalb kurzer Zeit die Zugangsdaten für die Datenbank mehrerer Unterseiten.

Kundenservice verteidigt Speicherung von Passwörtern im Klartext

Stellenmarkt
  1. Android-Entwickler (m/w/d)
    Hays AG, Wesel
  2. IT-Ingenieur - Arbeitsplatzprodukte (w/m/d)
    IT-Systemhaus der Bundesagentur für Arbeit, Nürnberg
Detailsuche

Begonnen hatte alles mit einem Tweet, in dem jemand schrieb, dass T-Mobile Österreich Kundenpasswörter im Klartext speichere. Daraufhin äußerte sich der Kundenservice von T-Mobile und teilte mit, dass die Mitarbeiter nur die ersten vier Zeichen des Passworts sähen, man aber das ganze Passwort speichere, da es für das Login benötigt werde.

Das Speichern des kompletten Passworts im Klartext gilt als extrem unsichere Praxis. Vielmehr ist es heutzutage üblich, nur die Hashes von Passwörtern zu speichern, die mit speziell dafür geeigneten Hash-Funktionen erzeugt werden.

Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, dann hat man keinen direkten Zugriff auf die Passwörter. Einfache Passwörter kann man zwar mit einem Brute-Force-Angriff erraten, aber das ist rechenaufwendig. Bei T-Mobile verwendet man diese Praxis des sicheren Speicherns von Passworthashes aber bislang offenbar nicht.

"What if this doesn't happen because our security is amazingly good?"

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Doch damit endete der Thread nicht. Der Kundenservice von T-Mobile meinte, dass das Speichern der Passwörter kein Problem sei, denn die Sicherheit dort sei unglaublich gut ("our security is amazingly good"). Das führte wenig überraschend dazu, dass einige Nutzer einen etwas genaueren Blick auf die Webseiten von T-Mobile Österreich warfen.

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben. Eine PHP-Informationsseite weist darauf hin, dass das System PHP 5.1.6 und einen Kernel 2.6 nutzt. Ebensowenig sind verwendete Wordpress-Versionen auf dem neuesten Stand.

Datenbank-Zugangsdaten mittels Git-Repository abrufbar

Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen. Dies ist ein Problem, über das Golem.de schon häufiger berichtet hatte.

Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen. Prüfen kann man das, indem man versucht, an die URL "/.git/config" anzuhängen. Falls man dort eine Git-Konfigurationsdatei findet, kann man mit entsprechenden Tools das gesamte Repository herunterladen.

Im Repository unter blogs.t-mobile.at fand sich eine Wordpress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden. Wir haben das Problem an T-Mobile Österreich gemeldet. Der Zugriff auf das entsprechende Verzeichnis ist inzwischen gesperrt.

Durch diese Sicherheitslücke wäre es leicht möglich gewesen, die entsprechenden Webseiten zu übernehmen. So hätte ein Angreifer dort beispielsweise Malware ausliefern oder auch mittels eines Kryptominers die CPU-Leistung der Webseitenbesucher missbrauchen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


frostbitten king 13. Apr 2018

Hab keine. Also keine Physische. Nur eine Aufladbare :D. Gezahlt hab ich bei denen immer...

Gunstick 09. Apr 2018

das zieht die Hacker so richtig an.

b.mey 09. Apr 2018

Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht...

drunkenmaster 09. Apr 2018

Weil das Passwort viel zu kurz und damit zu unsicher ist. Für mein Vermögen wünsche ich...

bionade24 08. Apr 2018

Oh Gott, das stimmt ja wirklich! Hab mit meinen 15 Jahren schon mehr Erfahrung als...



Aktuell auf der Startseite von Golem.de
Microsoft
Sony äußert sich zur Übernahme von Activision Blizzard

Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
Artikel
  1. Parallel Systems: Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge
    Parallel Systems
    Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge

    Das Startup Parallel Systems will konventionelle Züge durch modulare Fahrzeuge mit eigenem Antrieb und Energieversorgung ersetzen.

  2. Digitale-Dienste-Gesetz: Europaparlament will Nutzertracking stark einschränken
    Digitale-Dienste-Gesetz
    Europaparlament will Nutzertracking stark einschränken

    Das Europaparlament hat den Entwurf des Digitale-Dienste-Gesetzes verschärft. Ein Komplettverbot personalisierter Werbung soll es aber nicht geben.

  3. Jahresbilanz: Durch das Vodafone-Kabelnetz liefen 48 Exabyte
    Jahresbilanz
    Durch das Vodafone-Kabelnetz liefen 48 Exabyte

    Unser neues Leben spielt sich tagsüber bei Microsoft Teams ab. Dann verlagern sich die Datenströme in Richtung der Server von Netflix und Amazon.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /