Extreme Sicherheitslücken bei der Telekom

    Massive Sicherheitslücken bei der Telekom
    http://www.tagesschau.de/aktue…0,1185,OID3468476,00.html


    Weitere Hintergründe u. Meinungen
    http://www.tagesschau.de/aktue…0,1185,OID3468562,00.html
    http://www.tagesschau.de/aktue…F_NAVSPM4~3468476,00.html


    Hier die detaillierte Beschreibung der "Lücken" und wie simpel es war an alle Daten heranzukommen. Beschrieben werden sowohl Lücken in den Anwendungen, wie auch Lücken in der Infrastruktur.
    http://ds.ccc.de/083/obsoc



    Zitat

    tagesschau.de schreibt:
    Nach Ansicht des CCC sind allerdings sämtliche Dienste, die im Rahmen des T-Mart Web-Services angeboten werden, unsicher. Dies trifft nach Einschätzung des CCC auch für Dienste wie IntraSelect oder das Telekom-System "Brainloop" zu, das für Anwälte und Unternehmen einen "Dokumententresor" im Internet bieten soll, um gemeinsame Unterlagen bearbeiten und verwalten zu können.


    Es war durch einfache Veränderung der URL (die eigene Vertragsnummer einfach durch fremde ersetzt) möglich alle Vertragsdaten anderer Kunden einzusehen, zu ändern, Zusatzpakete zu bestellen etc.
    Hinzu kam, dass die Zugänge vieler Zweigstellen so geistreiche User/PW Kombinationen hatten wie Ortsname1/Ortsname1. Letztlich war es möglich (siehe ausführlichen Bericht), vollen Zugriff auf die Server zu bekommen, alle Festplatteninhalte einzusehen, zu ändern etc. Dort wiederum lagen Backups der Datenbanken "herum", die heruntergeladen werden konnten, in denen alle Passwörter im Klartext einsehbar waren.


    Man muß sich bei all dem klarmachen, dass man bei der Art und Weise wie an die Daten herangekommen wurde, man nicht von hacken sprechen kann. Vieles war wirklich frei zugänglich, und die einzige "Sicherheit" bestand darin, dass es nicht auch noch bequem verlinkt war.


    Nicht frei von Komik, dieser Screenshot:


    Wiederholter Anfragen und Hinweise bei der Telekom hatten nach den Schilderungen unverständlicherweise nicht zur Folge, dass man die Gesamt-Situation analysiert und Gegenmaßnahmen ergriffen, stattdessen soll halbherzig (und unzureichend) geflickt und geschwiegen worden sein.



    IMHO sind sowohl die Lücken (die Seite eines durchschnittlichen Hobby-Webmasters ist sicherer) wie auch die Reaktionen ein handfester Skandal. Ich bin gespannt wann und wie diese Geschichte auch von ausländischen Medien aufgegriffen wird. Das Ansehen der Marke dürfte dauerhaften Schaden davontragen.

    "That's not a hair question. I'm sorry." - 01/31/07 - Never forget!

    Re: Extreme Sicherheitslücken bei der Telekom


    Zitat

    Original geschrieben von Sencer
    IMHO sind sowohl die Lücken (die Seite eines durchschnittlichen Hobby-Webmasters ist sicherer) wie auch die Reaktionen ein handfester Skandal. Ich bin gespannt wann und wie diese Geschichte auch von ausländischen Medien aufgegriffen wird. Das Ansehen der Marke dürfte dauerhaften Schaden davontragen.


    Glaubst du wirklich? Geh mal auf die Site des CCC, da wirst haufenweise solche Sachen finden.
    Solche "Fehler" gibt es bei jedem Unternehmen, sei es Telekom, AOL, Amazon. Das ist bekannt und wenn man nur lange genug sucht, dann findet man auch was, wobei ich mir allerdings ein weiteres Mal nicht vorstellen kann, dass der CCC das ohne interne Mithilfe von seiten der Telekom herausgefunden hat....


    greetz,
    autares


    P.S.: Sag mal, benutzt du Windows?


    EDIT: Die Adresse lautet http://www.ccc.de/t-hack/

    Re: Re: Extreme Sicherheitslücken bei der Telekom



    Sehe ich ähnlich! Absolute Sicherheit gibt es nicht im Netz!


    Gruß,


    Oliver


    PS: Nach der Installation aller Patches ist Windows XP lt. Chip das sicherste Betriebssystem auf dem Markt!

    Aha. Weil es also keine absolute Sicherheit gibt, braucht man sich sowieso nicht um Sicherheit kümmern. Sehr einleuchtend. :D :confused:



    autares: Nenn mir bitte ein Fortune500 Unternehmen welches IT-Sicherheit für teueres Geld verkauft und gleichzeitig seine Kundendaten (also nicht nur Daten über den Kunden, sondern auch die Daten die der Kunde in diese Sichere Obhut gegeben hat, weil er eben diese Dienstleistung einkauft) dermaßen leicht für Jedermann zugänglich hat. So etwas gab es bisher nicht, AFAIK, für gegenteilige Informationen bin ich natürlich dankbar.



    Vielleicht habt ihr euch die verlinkten Artikel nicht durchgelesen, es geht hier nicht um Telefon-Rechnungen oder bloß Privatkunden, sondern auch um Firmenkunden die völlig andere Dienstleistungen von der Telekom beziehen.

    "That's not a hair question. I'm sorry." - 01/31/07 - Never forget!


    Mein Post ist gerade über den Datenjordan gegangen :(


    Nochmal von vorne!


    Ich finde ebenfalls das es ein Skandal ist! Es dauerte fast ein Jahr, das muss man sich mal vorstellen. Der Typ vom CCC hätte lieber die Infos in gewissen Kreisen veröffentlichen sollen, damit die Telebumm das mal versteht! Denn, wenn man schon so freundlich drauf hinweist, dann finde ich es um so mehr eine Frechheit sich arrogant aufzuspielen und das erstmal abzuwerten!


    Die werben doch immer mit so einem KnowHow, wieso beweisen sie es nicht mal :confused:


    Im übrigen glaube ich inzwischen, dass es nicht so hoch gekocht wird, international sowieso nicht. Denn die großen Anzeigenblätter in Deutschland fahren MIllionen für die Werbung der Telebumm (und deren Unternehmen) ein, da überlegen die sich es doch zweimal, ob sie das so breit treten.
    Dem Rest fehlt das nötige Interesse, sich damit auseinander zu setzen.


    Im übrigen erinnere ich mich da an die Invers-Suche hier im Festnetzforum. Hätte dort nicht ein Thread darauf hingewiesen, dass man dem widersprechen muss, hätte ich es auch nicht gewußt. Einfach deshalb weil meine Mutter mir nicht die Telefonrechnung aushändigt, sondern ich selber nachgeguckt hab.


    Was ich damit sagen will: Ich bin froh das TT immer wieder auf solche Informationen hinweißt!


    Na gut, hier dann mal eine kleine Auswahl:
    [URL=http://www.zdnet.de/news/security/0,39023046,2126492,00.htm]Samsung[/URL]
    Huk-Coburg
    Online-Lotto
    PaySystems
    Microsoft
    CSFB
    Amazon & IKEA
    ....


    So, das war das, was ich auf die Schnelle so gefunden haben, ich denke allerdings, die Liste ist beliebig erweiterbar...

    Zitat

    Original geschrieben von Sencer
    Aha. Weil es also keine absolute Sicherheit gibt, braucht man sich sowieso nicht um Sicherheit kümmern. Sehr einleuchtend. :D :confused:


    Habe ich nie gesagt - billige Polemik! :D


    Was genau könnte denn ein Hacker mit meinen Daten anfangen?

    Naja, was nützt mir das?
    Wenn ich mir die Lücke eines großen Wetterservices in Deutschland angucke - Das reicht mir für den Anfang. Warum bezahlen, wenns denn auch umsonst geht. :D

    Suche: Samsung Galaxy Nexus - Kontakt via PN


    Als ich zurückkam von den Reisen und sah am Gepäckband das erste mürrische Gesicht, da dachte ich: Das ist meine Heimat. - Harald Schmidt


    Welches dieser Unternehmen ist in den Fortune500? Wie kannst du allen ernstes einen kleine Fisch wie PaySystems mit der Telekom vergleichen? Welches der von dir genannten Unternehmen bietet Sicherheitsdienstleistungen für Unternehmen an? Bei welchem der Unternehmen bekam Vollzugriff auf dutzende oder hunderte Rechner? Bei welchem der Unternehmen konnte man Daten die der Kunde selbst in einem "Dokumtentresor" ablegen konnte (und dafür vermutlich sehr ordentlich bezahlen darf), derart leichtfertig entwenden?


    Ich zitiere nochmal was ich bereits oben schrieb:

    Zitat

    tagesschau.de schreibt:
    Nach Ansicht des CCC sind allerdings sämtliche Dienste, die im Rahmen des T-Mart Web-Services angeboten werden, unsicher. Dies trifft nach Einschätzung des CCC auch für Dienste wie IntraSelect oder das Telekom-System "Brainloop" zu, das für Anwälte und Unternehmen einen "Dokumententresor" im Internet bieten soll, um gemeinsame Unterlagen bearbeiten und verwalten zu können.


    @addictivebln:

    Zitat

    Habe ich nie gesagt


    Wie ist denn dein Beitrag zu deuten? Das einzige was du meintest beitragen zu müssen, war dass es absolute Sicherheit nicht gebe. Inwiefern ist das eine neue oder relevante Erkenntnis im Zusammenhang dieser Diskussion? Der vorliegende Fall ist wesentlich größer als die (ohnehin schon schlimmen) Ereignisse die bei anderen Unternehmen auftreten. Wenn ihr nun darauf hinweist, dass es anderen auch passiert, welchen Effekt hat das auf die Diskussion, wenn nicht die, dass es die Relevanz des Eregnisses herunterspielen soll. Wenn ich da zuviel hineininterpretiert haben sollte, wäre ich natürlich an einer Richtigstellung interessiert.

    "That's not a hair question. I'm sorry." - 01/31/07 - Never forget!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden