T-Hack – Hacking the Telekom

July 29th, 2004

Es gibt Neues aus dem Hause Telekom – dem anderen grossen Unternehmen des Troll Collect Konsortiums. Und wie bei der Maut gehört auch diese Geschichte in die Abteilung Pleiten, Pech und Pannen.

Dabei geht es um die Telekom-Tochter T Com, genauer um deren Webhosting-Service, der unter dem schönen Produktnamen Webeasy angeboten wird.

Ihn nutzen nicht nur zahlreiche Privatpersonen und kleinere Firmen, sondern auch große Regierungsbehörden, wie z.B. der Bundesgrenzschutz oder der Bundesnachrichtendienst. Also ein Dienst, bei dem Sicherheit und Datenschutz absolute Priorität haben sollten – jedenfalls theoretisch !

Dass die Praxis etwas anders aussieht, musste im Mai letzten Jahres ein Kunde von Webeasy feststellen, als er sich einmal die Webseiten genauer ansah, mit denen Webeasy Kunden ihre Vertragsdaten online verwalten können.

Was er mit diesem sogenannten “Online Business Solution Operation Center” (kurz: OBSOC) der Telekom erlebte, berichtet der Chaos Computer Club in der neuesten Ausgabe seiner Zeitschrift Datenschleuder (via Heiko per IM):

“Es fing damit an, dass ich eines Tages einen Webhosting-Vertrag im OBSOC administriert habe. Der Link, der mich in meinen Vertrag führte, produzierte folgende URL in meinem Browser:
http://www.t-mart-web-service.de/ contractview/ frameset.asp?ConPK=xyz

Wobei xyz für die Vertragsnummer des Vertrages steht, der gerade administriert wurde.

Neugierig wie ich war, änderte ich willkürlich die Vertragsnummer und bestätigte mit Enter die nun von mir geänderte URL. Ergebnis: Ich bekam einen anderen Vertrag eines anderen Kunden zum administrieren dargestellt. Exakt so, als ob ich meinen eigenen Vertrag verwalte.

Ich brauchte also nur mein Schließfach aufschließen, eine neue Nummer darauf schreiben und schon hatte ich Zugriff auf das Schließfach, dessen Nummer ich auf mein Schließfach geschrieben hatte. Wie im Märchen. Die Telekom brauchte einen Tag, um den Fehler zu beheben.

Wenn man einen solchen Fehler findet, fängt man doch an sich Sorgen um seine Daten zu machen. (…)”

Einmal neugierig geworden, spielte dieser verdutzte Telekom-Kunde munter weiter mit den Webadressen des OBSOCs rum und entdeckte so z.B. auch die Zugangsdaten der öffentlichen Webseiten des Bundesnachrichtendienstes ! Ups !!

Schon irgendwie peinlich, oder ?

Noch peinlicher ist allerdings, dass die Telekom alle Hinweise auf diese Sicherheitslücken über ein Jahr lang konsequent ignoriert hat. Erst als in den letzten Tagen der Chaos Computer Club und in Folge viele andere Medien, wie z.B. die Tagesschau, über die Probleme berichteten, reagierte die Telekom und nahm den gesamten Service vom Netz…

Wirklich eine reife Leistung !

Ach ja, bevor ich es vergesse: raten Sie mal, von wem die Sofware für das OBSOC kam ? Genau !

Tja, irgendwie fällt mir dazu nix mehr ein. Aber ein Bild sagt ja sowieso mehr, als tausend Worte… xxx
Infoseiten zum T-Hack

Dosenmaut & anderer Unsinn | Comments Jump to the top of this page

Comments are closed.

“… alle Staatsgewalt geht vom Volke aus.” – Art. 20,2 GG

Blogroll

Meta