Tele2-Voicemailboxen waren komplett ungesichert
Zwei Monate lang konnte jeder Anrufer Voice-Mailboxen der Telefongesellschaft Tele2 abhören. Das Unternehmen hat das Problem inzwischen behoben.
Einen gewaltigen Schnitzer hat sich die Telefongesellschaft Tele2 erlaubt: In den vergangenen zwei Monaten konnte jedermann jede Voice-Mailbox von Tele2 abhören und konfigurieren. Sobald die Mailbox den Anruf annahm, war über einen einfachen Tastendruck das Hauptmenü erreichbar – ohne dass der Anwender die Fernabfragefunktion aktiviert hätte. Ein Kunde beschwerte sich darüber bereits Anfang August bei Tele2, der Kundendienstmitarbeiter dort erkannte die Brisanz der Mitteilung aber offensichtlich nicht, denn es geschah nichts. Der Kunde wandte sich daraufhin an heise online, wir informierten die Pressestelle von Tele2 über die Sicherheitslücke.
Binnen weniger Stunden behob Tele2 daraufhin das Problem, indem Techniker eine ältere Version der Mailbox-Software einspielten. Uns gelang es anschließend nicht mehr, auf Nachrichten im System oder Konfigurationseinstellungen zurückzugreifen. Tele2 prüft nun, wie es zu der Panne kommen konnte. Unklar ist noch, wieviele Kunden von dem Sicherheitsleck betroffen sind. Am geprüften Anschluss war nach Angaben des Lesers die Fernabfrage deaktiviert, ein PIN dafür nicht festgelegt. Da Tele2 sehr schnell auf unseren Hinweis reagierte, konnten wir nicht mehr prüfen, ob der Fehler auch bei aktivierter Fernabfragefunktion und gesetzter Zugriffs-PIN auftrat. (uma)
