Bug auf T-Mobile-Website ermöglichte den Abruf vertraulicher Kundendaten
In der Website t-mobile.com klaffte ein Sicherheitsleck, das die Abfrage von Kundendatensätzen durch potenzielle Angreifer erlaubte. Kunden aus Deutschland waren angeblich nicht betroffen.
(Bild: dpa, Justin Lane/Archiv)
Eine Sicherheitslücke soll Hackern bis vergangenen Freitag die Abfrage persönlicher Daten von T-Mobile-Kunden ermöglicht haben. Laut Sicherheitsforscher Karan Saini, der die Schwachstelle auf t-mobile.com entdeckte und meldete, hätten Angreifer lediglich die Telefonnummern der potenziellen Opfer benötigt, um per Skript Namen, E-Mail-Adressen, Kontodaten sowie die International Mobile Subscriber Identity (IMSI) einzusammeln. Wie aus einem Statement von T-Mobile gegenüber der IT-News-Website Motherboard hervorgeht, wurde die Lücke innerhalb von 24 Stunden nach Bekanntwerden geschlossen.
Laut Saini steckte der Fehler in der Programmierschnittstelle wsg.t-mobile.com, die nach Übergabe einer Telefonnummer ganze Datensätze von Personen zurückschickte. Wieviele Kundendaten tatsächlich gefährdet waren, ist derzeit unklar. Während der Sicherheitsforscher darauf hinwies, dass T-Mobile etwa 70 Millionen Kunden habe, beteuerte T-Mobile gegenüber Motherboard, dass nur eine kleine Anzahl von Datensätzen abrufbar gewesen sei. heise Security fragte bei der Deutschen Telekom nach – die erklärte, dass Daten von Kunden aus Deutschland nicht von dem Hack betroffen waren.
Video-Tutorial zeigt Website-Exploit
Nach Aussage von T-Mobile gibt es keine Hinweise darauf, dass tatsächlich Zugriffe auf Kundendaten stattgefunden hätten. Motherboard will allerdings mit einem Hacker gesprochen haben, der das Gegenteil behauptet: Demnach sei die Lücke auf der T-Mobile-Website schon seit mehreren Wochen bekannt gewesen. Für diese Behauptung spricht auch ein auf YouTube aufgetauchtes Video-Tutorial von Anfang August, das den Exploit der T-Mobile-Website demonstrieren soll. (ovw)
