Abo
  • Services:

T-Mobile Österreich: Klartextpasswörter und "amazing Security" bei T-Mobile.at

Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern.

Artikel veröffentlicht am , Hanno Böck
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme.
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme. (Bild: T-Mobile Österreich / Screenshot)

Eine Twitter-Diskussion mit dem Kundenservice von T-Mobile Österreich sorgte gestern für einige Aufregung. Denn wie der Kundenservice zugab, speichere man Passwörter im Klartext. Das sei aber kein Problem, denn man habe "amazing Security". Das führte dazu, dass sich einige Nutzer die Webseiten von T-Mobile genauer ansahen - und einige Sicherheitsprobleme fanden. Der Autor dieses Texts fand innerhalb kurzer Zeit die Zugangsdaten für die Datenbank mehrerer Unterseiten.

Kundenservice verteidigt Speicherung von Passwörtern im Klartext

Stellenmarkt
  1. DATAGROUP Köln GmbH, Frankfurt
  2. SYNLAB Holding Deutschland GmbH, Augsburg

Begonnen hatte alles mit einem Tweet, in dem jemand schrieb, dass T-Mobile Österreich Kundenpasswörter im Klartext speichere. Daraufhin äußerte sich der Kundenservice von T-Mobile und teilte mit, dass die Mitarbeiter nur die ersten vier Zeichen des Passworts sähen, man aber das ganze Passwort speichere, da es für das Login benötigt werde.

Das Speichern des kompletten Passworts im Klartext gilt als extrem unsichere Praxis. Vielmehr ist es heutzutage üblich, nur die Hashes von Passwörtern zu speichern, die mit speziell dafür geeigneten Hash-Funktionen erzeugt werden.

Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, dann hat man keinen direkten Zugriff auf die Passwörter. Einfache Passwörter kann man zwar mit einem Brute-Force-Angriff erraten, aber das ist rechenaufwendig. Bei T-Mobile verwendet man diese Praxis des sicheren Speicherns von Passworthashes aber bislang offenbar nicht.

"What if this doesn't happen because our security is amazingly good?"

Doch damit endete der Thread nicht. Der Kundenservice von T-Mobile meinte, dass das Speichern der Passwörter kein Problem sei, denn die Sicherheit dort sei unglaublich gut ("our security is amazingly good"). Das führte wenig überraschend dazu, dass einige Nutzer einen etwas genaueren Blick auf die Webseiten von T-Mobile Österreich warfen.

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben. Eine PHP-Informationsseite weist darauf hin, dass das System PHP 5.1.6 und einen Kernel 2.6 nutzt. Ebensowenig sind verwendete Wordpress-Versionen auf dem neuesten Stand.

Datenbank-Zugangsdaten mittels Git-Repository abrufbar

Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen. Dies ist ein Problem, über das Golem.de schon häufiger berichtet hatte.

Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen. Prüfen kann man das, indem man versucht, an die URL "/.git/config" anzuhängen. Falls man dort eine Git-Konfigurationsdatei findet, kann man mit entsprechenden Tools das gesamte Repository herunterladen.

Im Repository unter blogs.t-mobile.at fand sich eine Wordpress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden. Wir haben das Problem an T-Mobile Österreich gemeldet. Der Zugriff auf das entsprechende Verzeichnis ist inzwischen gesperrt.

Durch diese Sicherheitslücke wäre es leicht möglich gewesen, die entsprechenden Webseiten zu übernehmen. So hätte ein Angreifer dort beispielsweise Malware ausliefern oder auch mittels eines Kryptominers die CPU-Leistung der Webseitenbesucher missbrauchen können.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. und Far Cry 5 gratis erhalten
  3. 249,90€ + Versand (im Preisvergleich über 280€)

frostbitten king 13. Apr 2018 / Themenstart

Hab keine. Also keine Physische. Nur eine Aufladbare :D. Gezahlt hab ich bei denen immer...

Gunstick 09. Apr 2018 / Themenstart

das zieht die Hacker so richtig an.

b.mey 09. Apr 2018 / Themenstart

Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht...

drunkenmaster 09. Apr 2018 / Themenstart

Weil das Passwort viel zu kurz und damit zu unsicher ist. Für mein Vermögen wünsche ich...

bionade24 08. Apr 2018 / Themenstart

Oh Gott, das stimmt ja wirklich! Hab mit meinen 15 Jahren schon mehr Erfahrung als...

Kommentieren


Folgen Sie uns
       


Samsung Galaxy S9 und S9 Plus - Test

Das Galaxy S9 und das Galaxy S9+ sind Samsungs neue Oberklasse-Smartphones. Golem.de hat sich im Test besonders die neuen Kameras angeschaut, die eine variable Blende haben.

Samsung Galaxy S9 und S9 Plus - Test Video aufrufen
Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern
  2. Vor Anhörungen Zuckerberg nimmt alle Schuld auf sich
  3. Facebook Verschärfte Regeln für Politwerbung und beliebte Seiten

Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  2. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen
  3. DSGVO Zuckerberg will EU-Datenschutz nicht weltweit anwenden

Far Cry 5 im Test: Schöne Welt voller Spinner
Far Cry 5 im Test
Schöne Welt voller Spinner

Der Messias von Montana trägt Pornobrille und hat eine Privatarmee - aber nicht mit uns gerechnet: In Far Cry 5 kämpfen wir auf Bergwiesen und in Bauernhöfen gegen seine Anhänger. Das macht dank einiger Serienänderungen zwar Spaß, dennoch verschenkt das Actionspiel von Ubisoft viel Potenzial.
Von Peter Steinlechner

  1. Far Cry 5 Offenbar Denuvo 5 und zwei weitere Schutzsysteme geknackt
  2. Ubisoft Far Cry 5 schafft Serienrekord und Spieler werfen Schaufeln
  3. Ubisoft Far Cry 5 erlaubt Kartenbau mit Fremdinhalten

    •  /