Abo
  • Services:

T-Mobile Österreich: Klartextpasswörter und "amazing Security" bei T-Mobile.at

Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern.

Artikel veröffentlicht am , Hanno Böck
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme.
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme. (Bild: T-Mobile Österreich / Screenshot)

Eine Twitter-Diskussion mit dem Kundenservice von T-Mobile Österreich sorgte gestern für einige Aufregung. Denn wie der Kundenservice zugab, speichere man Passwörter im Klartext. Das sei aber kein Problem, denn man habe "amazing Security". Das führte dazu, dass sich einige Nutzer die Webseiten von T-Mobile genauer ansahen - und einige Sicherheitsprobleme fanden. Der Autor dieses Texts fand innerhalb kurzer Zeit die Zugangsdaten für die Datenbank mehrerer Unterseiten.

Kundenservice verteidigt Speicherung von Passwörtern im Klartext

Stellenmarkt
  1. Stiegelmeyer GmbH & Co. KG, Herford
  2. Coroplast Fritz Müller GmbH & Co. KG, Wuppertal

Begonnen hatte alles mit einem Tweet, in dem jemand schrieb, dass T-Mobile Österreich Kundenpasswörter im Klartext speichere. Daraufhin äußerte sich der Kundenservice von T-Mobile und teilte mit, dass die Mitarbeiter nur die ersten vier Zeichen des Passworts sähen, man aber das ganze Passwort speichere, da es für das Login benötigt werde.

Das Speichern des kompletten Passworts im Klartext gilt als extrem unsichere Praxis. Vielmehr ist es heutzutage üblich, nur die Hashes von Passwörtern zu speichern, die mit speziell dafür geeigneten Hash-Funktionen erzeugt werden.

Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, dann hat man keinen direkten Zugriff auf die Passwörter. Einfache Passwörter kann man zwar mit einem Brute-Force-Angriff erraten, aber das ist rechenaufwendig. Bei T-Mobile verwendet man diese Praxis des sicheren Speicherns von Passworthashes aber bislang offenbar nicht.

"What if this doesn't happen because our security is amazingly good?"

Doch damit endete der Thread nicht. Der Kundenservice von T-Mobile meinte, dass das Speichern der Passwörter kein Problem sei, denn die Sicherheit dort sei unglaublich gut ("our security is amazingly good"). Das führte wenig überraschend dazu, dass einige Nutzer einen etwas genaueren Blick auf die Webseiten von T-Mobile Österreich warfen.

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben. Eine PHP-Informationsseite weist darauf hin, dass das System PHP 5.1.6 und einen Kernel 2.6 nutzt. Ebensowenig sind verwendete Wordpress-Versionen auf dem neuesten Stand.

Datenbank-Zugangsdaten mittels Git-Repository abrufbar

Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen. Dies ist ein Problem, über das Golem.de schon häufiger berichtet hatte.

Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen. Prüfen kann man das, indem man versucht, an die URL "/.git/config" anzuhängen. Falls man dort eine Git-Konfigurationsdatei findet, kann man mit entsprechenden Tools das gesamte Repository herunterladen.

Im Repository unter blogs.t-mobile.at fand sich eine Wordpress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden. Wir haben das Problem an T-Mobile Österreich gemeldet. Der Zugriff auf das entsprechende Verzeichnis ist inzwischen gesperrt.

Durch diese Sicherheitslücke wäre es leicht möglich gewesen, die entsprechenden Webseiten zu übernehmen. So hätte ein Angreifer dort beispielsweise Malware ausliefern oder auch mittels eines Kryptominers die CPU-Leistung der Webseitenbesucher missbrauchen können.



Anzeige
Hardware-Angebote

frostbitten king 13. Apr 2018

Hab keine. Also keine Physische. Nur eine Aufladbare :D. Gezahlt hab ich bei denen immer...

Gunstick 09. Apr 2018

das zieht die Hacker so richtig an.

b.mey 09. Apr 2018

Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht...

drunkenmaster 09. Apr 2018

Weil das Passwort viel zu kurz und damit zu unsicher ist. Für mein Vermögen wünsche ich...

bionade24 08. Apr 2018

Oh Gott, das stimmt ja wirklich! Hab mit meinen 15 Jahren schon mehr Erfahrung als...


Folgen Sie uns
       


Tolino Shine 3 - Hands on

Der Shine 3 ist der neue E-Book-Reader der Tolino-Allianz. Das neue Modell bietet einen kapazitiven Touchscreen und erhält die Möglichkeit, die Farbtemperatur des Displaylichts zu verändern. Der Shine 3 ist für 120 Euro verfügbar.

Tolino Shine 3 - Hands on Video aufrufen
Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
  3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

    •  /