T-Mobile Austria will nach Twitter-Shitstorm an der IT-Sicherheit nachbessern
Kundenpasswörter im Klartext, veraltete Software und Lücken in der Unternehmens-Webseite sorgten vergangene Woche für Aufregung bei Sicherheitsforschern und Kunden von T-Mobile Austria. Nun kündigte das Unternehmen zusätzliche Schutzmaßnahmen an.
Im Rahmen einer hitzig geführten Twitter-Diskussion zwischen Mitarbeitern und Kunden von T-Mobile Austria sowie weiteren Nutzern kamen vergangene Woche Sicherheitsmängel bei der Passwortspeicherung sowie Schwachstellen auf der Webseite des österreischischen Mobilfunkanbieters ans Licht. Unter anderem wurde bekannt, dass Kundenpasswörter bisher im Klartext in den Datenbanken gespeichert wurden und die ersten vier Stellen vom Kundenservice einsehbar waren.
In der Konsequenz hat ein Sprecher des Unternehmens inzwischen via Twitter angekündigt, dass nun "so rasch wie möglich" zusätzliche Maßnahmen zur Passwortsicherung ergriffen würden: Die Speicherung erfolge künftig ausschließlich salted und hashed, und der Zugriff durch Service-Mitarbeiter werde vollständig unterbunden. Er betonte paradoxerweise auch, dass die Datenbanken bereits zuvor verschlüsselt und gut gesichert gewesen seien; wie diese Aussage mit den bisherigen Zugriffsmöglichkeiten vereinbar ist, ließ er offen.
"Amazingly good" Security
Ausgangspunkt der Debatte war der Hinweis einer österreichischen T-Mobile-Kundin darauf, dass der Anbieter Kundenpasswörter auf eine maximale Länge von 16 Zeichen limitiere und ausschließlich ASCII-Zeichen akzeptiere. Ein anderer Kunde mutmaßte, dass die Passwörter darüber hinaus im Klartext auf den Servern gespeichert würden, damit der Kundenservice in der Lage sei, die Identität von Anrufern zu validieren. Dass dies bislang auf die ersten vier Zeichen jedes Passworts zutraf, wurde im Laufe der sich daraus entspinnenden Diskussion von einer T-Mobile-Austria-Mitarbeiterin über den offiziellen Twitter-Account des Unternehmens bestätigt.
Peinlich wurde es für den Mobilfunkanbieter, als eine Mitarbeiterin namens "Käthe" denselben Account nutzte, um ihr (aus Security-Perspektive besorgniserregendes) Unverständnis über die Kundenbesorgnis zu äußern: Sie begreife das Problem nicht, das sich aus der Klartext-Speicherung ergäbe. Schließlich sei die Sicherheit bei T-Mobile Austria doch ohnehin so "amazingly good", dass eine Kompromittierung der Infrastruktur völlig unmöglich sei.
Sicher geht anders
Dafür erntete sie nicht nur Spott, Fassungslosigkeit und Aufmerksamkeit von vielen Seiten – unter anderem retweetete und kommentierte der Sicherheitsforscher Troy Hunt ("Have I Been Pwned") ihre Statements – sondern veranlasste zugleich auch einige Nutzer dazu, den Wahrheitsgehalt dieser Aussage zu überprüfen. Bald darauf hingen der Twitter-Diskussion Screenshots an, die mehrere Cross-Site-Scripting-Lücken auf t-mobile.at aufzeigten und darüber hinaus auch dokumentierten, dass Apache-, PHP- und WordPress-Versionen der Webseite veraltet waren.
Spaßvögel richteten einen Twitter-Acount namens "Käthe on Security" mit raffinierten (aber nicht nachahmenswerten) Tipps für den Umgang mit Passwörtern ein.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Der freie Journalist Hanno Böck berichtete zudem, dass es ihm möglich gewesen sei, von mehreren T-Mobile-Austria-Subdomains/-Blogs ein Git-Repository herunterzuladen. Darin habe sich eine Kopie der Wordpress-Installation nebst Konfigurationsdatei befunden, die wiederum Zugangsdaten zu einer MySQL-Datenbank enthalten habe. Im schlimmsten Fall hätte diese Lücke laut Böck die Übernahme der entsprechenden Webseiten ermöglichen können – etwa um Malware auszuliefern oder Kyptowährungen zu schürfen. Nachdem er das Problem an den Mobilfunkanbieter meldete, sperrte dieser den Zugriff.
[Update 11.04.2018 13:39 Uhr]: "Käthe on Security"-Tweet eingefügt (ovw)