Sicherheitslücke bei Viag Interkom

Durch eine Sicherheitslücke des Web-Servers von Viag Interkom war es möglich, Einstellungen von anderen Mobilfunkteilnehmern zu ändern. Über das sogenannte "Online Accounting" im Internet können Viag-Kunden Einzelgesprächsnachweise bestellen oder die Adresse, die Bankverbindung und die eingestellte Cityzone ändern, innerhalb derer Gespräche ins örtliche Festnetz in der Hauptzeit preiswerter sind. Die "persönliche Kundenkennzahl", die beim Vertragsabschluss vereinbart wird, soll das Online Accounting vor Missbrauch schützen.

Es gelang uns jedoch bei diversen Accounts die Cityzone mit beliebig gewählten Kundenkennzahlen zu verändern. Offensichtlich überprüfte das System diese Geheimnummer gar nicht. Die so durchgeführten Änderungen der Cityzone wurden noch am selben Tag aktiv. Die Handy-Besitzer erhielten darüber keine Nachricht; lediglich die City-Anzeige im Display des Telefons verschwand, was man leicht übersehen kann. Die böse Überraschung kommt dann mit der Rechnung: Für die Änderung der ursprünglich gewählten Cityzone berechnet Viag eine Gebühr von 25 Mark.

Viag-Pressesprecher Dr. Roland Kuntze erklärte gegenüber c't, dass geschädigte Kunden für die unberechtigte Manipulationen der Cityzone durch Dritte nichts bezahlen müssen. Wer eine vor dem heutigen Tag über das Internet getätigte Änderung wieder rückgängig macht, soll eine Gutschrift über die Gebühren erhalten. Viag hat die Sicherheitslücke auf Grund des Hinweises von c't geschlossen. (ad)