T-Mobile Österreich: Klartextpasswörter und "amazing Security" bei T-Mobile.at

Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern.

Artikel veröffentlicht am , Hanno Böck
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme.
So wirbt T-Mobile Österreich für IT-Sicherheit - doch mit der Sicherheit auf den eigenen Systemen gibt es ein paar Probleme. (Bild: T-Mobile Österreich / Screenshot)

Eine Twitter-Diskussion mit dem Kundenservice von T-Mobile Österreich sorgte gestern für einige Aufregung. Denn wie der Kundenservice zugab, speichere man Passwörter im Klartext. Das sei aber kein Problem, denn man habe "amazing Security". Das führte dazu, dass sich einige Nutzer die Webseiten von T-Mobile genauer ansahen - und einige Sicherheitsprobleme fanden. Der Autor dieses Texts fand innerhalb kurzer Zeit die Zugangsdaten für die Datenbank mehrerer Unterseiten.

Kundenservice verteidigt Speicherung von Passwörtern im Klartext

Stellenmarkt
  1. Akademische Mitarbeiterin / Akademischer Mitarbeiter (w/m/d) der Fachrichtung Elektrotechnik, ... (m/w/d)
    Karlsruher Institut für Technologie (KIT) Campus Nord, Eggenstein-Leopoldshafen
  2. Informatiker/in (FH-Diplom / Bachelor / Fachinformatiker/in [m/w/d])
    Zentrum Bayern Familie und Soziales Dienststelle Zentrale Personalmanagement, Bayreuth
Detailsuche

Begonnen hatte alles mit einem Tweet, in dem jemand schrieb, dass T-Mobile Österreich Kundenpasswörter im Klartext speichere. Daraufhin äußerte sich der Kundenservice von T-Mobile und teilte mit, dass die Mitarbeiter nur die ersten vier Zeichen des Passworts sähen, man aber das ganze Passwort speichere, da es für das Login benötigt werde.

Das Speichern des kompletten Passworts im Klartext gilt als extrem unsichere Praxis. Vielmehr ist es heutzutage üblich, nur die Hashes von Passwörtern zu speichern, die mit speziell dafür geeigneten Hash-Funktionen erzeugt werden.

Der Vorteil des Hashens: Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, dann hat man keinen direkten Zugriff auf die Passwörter. Einfache Passwörter kann man zwar mit einem Brute-Force-Angriff erraten, aber das ist rechenaufwendig. Bei T-Mobile verwendet man diese Praxis des sicheren Speicherns von Passworthashes aber bislang offenbar nicht.

"What if this doesn't happen because our security is amazingly good?"

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    27.-28. Januar 2022, online
  3. Linux-Shellprogrammierung
    2.-5. November 2021, online
Weitere IT-Trainings

Doch damit endete der Thread nicht. Der Kundenservice von T-Mobile meinte, dass das Speichern der Passwörter kein Problem sei, denn die Sicherheit dort sei unglaublich gut ("our security is amazingly good"). Das führte wenig überraschend dazu, dass einige Nutzer einen etwas genaueren Blick auf die Webseiten von T-Mobile Österreich warfen.

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben. Eine PHP-Informationsseite weist darauf hin, dass das System PHP 5.1.6 und einen Kernel 2.6 nutzt. Ebensowenig sind verwendete Wordpress-Versionen auf dem neuesten Stand.

Datenbank-Zugangsdaten mittels Git-Repository abrufbar

Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen. Dies ist ein Problem, über das Golem.de schon häufiger berichtet hatte.

Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen. Prüfen kann man das, indem man versucht, an die URL "/.git/config" anzuhängen. Falls man dort eine Git-Konfigurationsdatei findet, kann man mit entsprechenden Tools das gesamte Repository herunterladen.

Im Repository unter blogs.t-mobile.at fand sich eine Wordpress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden. Wir haben das Problem an T-Mobile Österreich gemeldet. Der Zugriff auf das entsprechende Verzeichnis ist inzwischen gesperrt.

Durch diese Sicherheitslücke wäre es leicht möglich gewesen, die entsprechenden Webseiten zu übernehmen. So hätte ein Angreifer dort beispielsweise Malware ausliefern oder auch mittels eines Kryptominers die CPU-Leistung der Webseitenbesucher missbrauchen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


frostbitten king 13. Apr 2018

Hab keine. Also keine Physische. Nur eine Aufladbare :D. Gezahlt hab ich bei denen immer...

Gunstick 09. Apr 2018

das zieht die Hacker so richtig an.

b.mey 09. Apr 2018

Die Seriöse Methode bei Kundenpasswörtern am Telefon im Kontakt mit Kundenbetreuern sieht...

drunkenmaster 09. Apr 2018

Weil das Passwort viel zu kurz und damit zu unsicher ist. Für mein Vermögen wünsche ich...

bionade24 08. Apr 2018

Oh Gott, das stimmt ja wirklich! Hab mit meinen 15 Jahren schon mehr Erfahrung als...



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /