Abo
  • IT-Karriere:

T-Mobile Österreich: Klartextpasswörter und "amazing Security" bei T-Mobile.at

Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern.

Artikel veröffentlicht am , Hanno Böck
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme.
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme. (Bild: T-Mobile Österreich / Screenshot)

Eine Twitter-Diskussion mit dem Kundenservice von T-Mobile Österreich sorgte gestern für einige Aufregung. Denn wie der Kundenservice zugab, speichere man Passwörter im Klartext. Das sei aber kein Problem, denn man habe "amazing Security". Das führte dazu, dass sich einige Nutzer die Webseiten von T-Mobile genauer ansahen - und einige Sicherheitsprobleme fanden. Der Autor dieses Texts fand innerhalb kurzer Zeit die Zugangsdaten für die Datenbank mehrerer Unterseiten.

Kundenservice verteidigt Speicherung von Passwörtern im Klartext

Stellenmarkt
  1. KÖNIGSTEINER GmbH, Stuttgart
  2. Still GmbH, Hamburg

Begonnen hatte alles mit einem Tweet, in dem jemand schrieb, dass T-Mobile Österreich Kundenpasswörter im Klartext speichere. Daraufhin äußerte sich der Kundenservice von T-Mobile und teilte mit, dass die Mitarbeiter nur die ersten vier Zeichen des Passworts sähen, man aber das ganze Passwort speichere, da es für das Login benötigt werde.

Das Speichern des kompletten Passworts im Klartext gilt als extrem unsichere Praxis. Vielmehr ist es heutzutage üblich, nur die Hashes von Passwörtern zu speichern, die mit speziell dafür geeigneten Hash-Funktionen erzeugt werden.

Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, dann hat man keinen direkten Zugriff auf die Passwörter. Einfache Passwörter kann man zwar mit einem Brute-Force-Angriff erraten, aber das ist rechenaufwendig. Bei T-Mobile verwendet man diese Praxis des sicheren Speicherns von Passworthashes aber bislang offenbar nicht.

"What if this doesn't happen because our security is amazingly good?"

Doch damit endete der Thread nicht. Der Kundenservice von T-Mobile meinte, dass das Speichern der Passwörter kein Problem sei, denn die Sicherheit dort sei unglaublich gut ("our security is amazingly good"). Das führte wenig überraschend dazu, dass einige Nutzer einen etwas genaueren Blick auf die Webseiten von T-Mobile Österreich warfen.

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben. Eine PHP-Informationsseite weist darauf hin, dass das System PHP 5.1.6 und einen Kernel 2.6 nutzt. Ebensowenig sind verwendete Wordpress-Versionen auf dem neuesten Stand.

Datenbank-Zugangsdaten mittels Git-Repository abrufbar

Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen. Dies ist ein Problem, über das Golem.de schon häufiger berichtet hatte.

Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen. Prüfen kann man das, indem man versucht, an die URL "/.git/config" anzuhängen. Falls man dort eine Git-Konfigurationsdatei findet, kann man mit entsprechenden Tools das gesamte Repository herunterladen.

Im Repository unter blogs.t-mobile.at fand sich eine Wordpress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden. Wir haben das Problem an T-Mobile Österreich gemeldet. Der Zugriff auf das entsprechende Verzeichnis ist inzwischen gesperrt.

Durch diese Sicherheitslücke wäre es leicht möglich gewesen, die entsprechenden Webseiten zu übernehmen. So hätte ein Angreifer dort beispielsweise Malware ausliefern oder auch mittels eines Kryptominers die CPU-Leistung der Webseitenbesucher missbrauchen können.



Anzeige
Hardware-Angebote
  1. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)
  2. (reduzierte Überstände, Restposten & Co.)
  3. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  4. täglich neue Deals bei Alternate.de

frostbitten king 13. Apr 2018

Hab keine. Also keine Physische. Nur eine Aufladbare :D. Gezahlt hab ich bei denen immer...

Gunstick 09. Apr 2018

das zieht die Hacker so richtig an.

b.mey 09. Apr 2018

Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht...

drunkenmaster 09. Apr 2018

Weil das Passwort viel zu kurz und damit zu unsicher ist. Für mein Vermögen wünsche ich...

bionade24 08. Apr 2018

Oh Gott, das stimmt ja wirklich! Hab mit meinen 15 Jahren schon mehr Erfahrung als...


Folgen Sie uns
       


Minecraft Earth - Gameplay

Minecraft schafft den Sprung in die echte-virtuelle Welt: In Minecraft Earth können Spieler direkt in der Nachbarschaft prächtige Gebäude aus dem Boden stampfen und gegen Skelette kämpfen.

Minecraft Earth - Gameplay Video aufrufen
Jira, Trello, Asana, Zendesk: Welches Teamarbeitstool taugt wofür?
Jira, Trello, Asana, Zendesk
Welches Teamarbeitstool taugt wofür?

Die gute Organisation eines Teams ist das A und O in der Projektplanung. Tools wie Jira, Trello, Asana und Zendesk versuchen, das Werkzeug der Wahl zu sein. Wir machen den Vergleich und zeigen, wo ihre Stärken und Schwächen liegen und wie sie Firmen helfen, die DSGVO-Konformität zu wahren.
Von Sascha Lewandowski

  1. Anzeige Wie ALDI SÜD seine IT personell neu aufstellt
  2. Projektmanagement An der falschen Stelle automatisiert

IT-Freelancer: Paradiesische Zustände
IT-Freelancer
Paradiesische Zustände

IT-Freiberufler arbeiten zeitlich nicht mehr als ihre fest angestellten Kollegen, verdienen aber doppelt so viel wie sie. Das unternehmerische Risiko ist in der heutigen Zeit für gute IT-Freelancer gering, die Gefahr der Scheinselbstständigkeit aber hoch.
Von Peter Ilg

  1. Change-Management Die Zeiten, sie, äh, ändern sich
  2. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  3. MINT Werden Frauen überfördert?

Samsung CRG9 im Test: Das Raumschiffcockpit für den Schreibtisch
Samsung CRG9 im Test
Das Raumschiffcockpit für den Schreibtisch

Keine Frage: An das Curved Panel und das 32:9-Format des Samsung CRG9 müssen wir uns erst gewöhnen. Dann aber wollen wir es fast nicht mehr hergeben. Dank der hohen Bildfrequenz und guten Auflösung vermittelt der Monitor ein immersives Gaming-Erlebnis - als wären wir mittendrin.
Ein Test von Oliver Nickel

  1. Android Samsung will Android-10-Beta auch für Galaxy Note 10 bringen
  2. Speichertechnik Samsung will als Erster HBM2 in 12 Ebenen und 24 GByte bauen
  3. Samsung Fehler am Display des Galaxy Fold aufgetreten

    •  /