Schwerwiegende Sicherheitsmängel bei T-Com

Der Chaos Computer Club entdeckte schwerwiegende Sicherheitslücken in der T-Com-Infrastruktur. Ohne größeren Aufwand habe jeder Kunden- und Unternehmensdaten der Telekom-Tochter einsehen und ändern können.

In Pocket speichern vorlesen Druckansicht 862 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Patrick Brauch

Der Chaos Computer Club (CCC e.V.) entdeckte schwerwiegende Sicherheitsmängel in der T-Com-Datenbank OBSOC (Online Business Solution Operation Center). Ohne größeren Aufwand habe jeder Surfer nicht nur Kunden- und Unternehmensdaten einsehen, sondern sogar ändern können.

Das OBSOC ist im Grunde eine Vertragsverwaltung für die Telekom-Festnetztochter T-Com; hier finden sich alle relevanten Informationen zu Kundenverträgen. Diese Datenbank ist einerseits für Kunden gedacht, die darüber bestimmte Änderungen an ihrem Vertrag vornehmen können, wie beispielsweise neue Optionen zum Vertrag zuzukaufen. Andererseits ist die Vertragsverwaltung auch für T-Com-Mitarbeiter, die -- je nach Berechtigung -- vollen Schreibzugriff auf alle Vertragsdaten haben.

Dirk Heringhaus vom CCC hat sich seit Sommer 2003 mit der Sicherheit dieser Vertragsverwaltung beschäftigt und ist auf haarsträubende Sicherheitslücken gestoßen, die er in einem Bericht der Datenschleuder nun veröffentlicht hat. Zum einen wurden die einzelnen Datensätze nur mit der Vertragsnummer in der Browser-URL referenziert. Somit konnte Heringhaus -- einmal authentifiziert -- auf alle Kundendaten im OBSOC-System zugreifen und sie ändern.

Damit aber nicht genug: Bei einer genaueren Untersuchung stellte Heringhaus fest, dass viele der T-Com-Mitarbeiter mit Zugriff auf das OBSOC-System völlig unsichere Passwörter verwendeten (Nutzername = Passwort). Dadurch war er ohne weitere Probleme in der Lage, Vollzugriff auf T-Com-interne Systeme innerhalb von OBSOC zu erhalten. Somit konnte er letztlich alle Zugangsdaten von T-Com-Kunden einsehen und ändern. Über bestimmte Verwaltungsskripte war es darüberhinaus möglich, mit Pfadangaben wie "../../" Zugriff auf die kompletten Laufwerke der Windows-Server zu erhalten (Directory-Traversal).

Heringhaus und der CCC machen sich vor allem Sorgen wegen des Datenschutzes. So sei nach Angaben des CCC davon auszugehen, dass sich "Angreifer mit genügend krimineller Energie" in den Datenbeständen herumgetrieben haben: "Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", sagt Dirk Engling von der Datenschleuder. "Ein Angreifer wäre somit im Besitz sämtlicher Zugangspasswörter aller Kunden dieser auf OBSOC basierenden Dienstleistung."

Während Hernigshaus Recherche in den vergangenen Monaten habe T-Com zwar diverse der kleineren Sicherheitsmängel beseitigt, aber gewährleiste immer noch keine grundsätzliche Sicherheit. Zudem bemängelt Heringhaus, dass T-Com keinerlei Bemühungen unternommen habe, das Sicherheitsproblem zu veröffentlichen und so seine Kunden zu warnen. Heringhaus stellt die vollständige Kommunikation mit T-Com auf einer eigens dafür eingerichteten Seite der Öffentlichkeit zur Verfügung. Eine Stellungnahme der Telekom war lange Zeit nicht zu erhalten, inzwischen bestätigte der Konzern allerdings den Bericht.

Siehe dazu auch: (pab)