Es fing mit einem harmlosen Tweet am Mittwochabend und endete mit einem gehörigen PR-Debakel für T-Mobile Österreich. Der Mobilfunker wurde via Twitter angefragt, ob er tatsächlich Kundenpasswörter in Klartext speichere. Die Antwort lautete: Ja, Servicemitarbeiter sehen allerdings nur die ersten vier Buchstaben. Aber man sehe darin kein Problem, da ja die Sicherheitsvorkehrungen geradezu "einmalig gut" seien.

Passwörter unverschlüsselt zu speichern gilt seit Jahren als Sicherheits-Todsünde, da sie so, etwa bei einem Datendiebstahl, gleich von Angreifern genutzt werden können. Auch ist es problematisch, wenn Teile eines Passworts bekannt sind, da es so schneller geknackt werden kann.

Antworten negativ aufgenommen

Die Antworten des T-Mobile Social-Media Teams kamen nicht gut an, sondern spornten weitere Twitter-Nutzer an, die Sicherheit des Handynetzbetreibers unter die Lupe zu nehmen und ihre Erkenntnisse auf Twitter zu verbreiten. So wurde der Zugang zu einigen nicht öffentlichen Service-Webseiten publik und auf mögliche schwere Sicherheitslücken aufmerksam gemacht. Einigen Nutzern scheinen dabei etwa Cross-Site-Scripting-Attacken gelungen zu sein, mit denen anderen Usern theoretisch Schadcode untergejubelt werden könnte.

Ergänzend beschwerten sich Twitter-Nutzer über den als patzig empfundenen Ton, den sie von T-Mobile zu hören ("Hast du eine Ahnung, wie Telekom-Firmen arbeiten?") bekamen. Auch Unternehmenssprecher Helmut Spudich konnte die Lage nicht beruhigen, indem er betonte, dass die Passwörter in einer verschlüsselten Datenbank gespeichert werden und Servicemitarbeiter nur die ersten Buchstaben zu sehen bekommen.

Offene Fragen

Was konkret mit "Verschlüsselung" gemeint ist, bleibt dabei unklar. Geht es tatsächlich nur um eine Verschleierung der Speicherung am Server über ein fixes Passwort – was die Formulierung nahelegt – ist dies aus einer Sicherheitsperspektive jedenfalls eine äußerst schlechte Idee. Immerhin könnte damit jeder, der an das Master-Passwort kommt, sämtliche User-Passwörter einsehen, und dann mit den Accounts machen, was auch immer er will. Dies würde einem Worst-Case-Szenario gleichkommen, wie etwa Adobe im Jahr 2013 erfahren musste, als die Login-Daten von Millionen Nutzern im Netz landeten.

Üblicherweise werden Nutzerpasswörter heutzutage entsprechend so gespeichert, dass sie auch für den Betreiber selbst nicht rückführbar sind. Das passiert meist über die Nutzung eines starken Hashing-Algorithmus, der dann auch noch mit einem anderen Faktor (Salt) angereichert wird, um Attacken weiter zu erschweren. Dies würde es aber verhindern, dass T-Mobile irgendeinen Einblick in die Nutzerpasswörter hat, insofern ist zu befürchten, dass man hier tatsächlich auf seit langem obsolete Sicherheitskonzepte setzt.

Der US-Ausgabe von Vice war die ganze Auseinandersetzung sogar einen Artikel wert, wie auch anderen US-Tech-Seiten wie Gizmodo und PCMag. Auch für amerikanische T-Mobile-Kunden war sie ein Thema. Neben dem offiziellen Twitteraccounts von T-Mobile USA meldete sich der CEO zu Wort, um sich von den Praktiken der österreichischen Schwester zu distanzieren. So merkte er etwa an, dass US-Servicemitarbeiter keine Passwörter sehen könnten und diese natürlich auch nicht in Klartext abgespeichert werden würden.

Schwere Sicherheitsprobleme auf der Webseite

Unterdessen hat sich der deutsche IT-Journalist und Sicherheitsexperte Hanno Böck die Webseite von T-Mobile Österreich näher angesehen – und dabei haarsträubende Sicherheitsdefizite aufgespürt. Wie er in einer Tweet-Reihe berichtet, wird die gesamte Seite automatisch über ein öffentlich zugängliches Code-Verzeichnis verwaltet und aktualisiert. Das wäre an sich noch nichts ungewöhnliches, nur findet sich in dem Git Repository leider sowohl Username als auch Passwort der genutzten MySQL-Datenbank.

Doch auch wenn solche Versehen in die Kategorie grob fahrlässig gehören, hätte ein Angreifer damit noch nicht wirklich viel anfangen können, ist doch der Datenbankzugriff auf lokale User und Anwendungen direkt am Server beschränkt. Wäre da nicht der Umstand, dass auch noch das Administrations-Tool PhpMyAdmin auf dem betreffenden Server öffentlich erreichbar ist – womit sich ein Angreifer problemlos einloggen und die betreffenden Webpages nach Belieben verändern hätte können.

Zumindest hat T-Mobile Österreich in diesem Fall rasch reagiert, wie Böck berichtet: Das Sicherheitsproblem sei mittlerweile bereinigt worden.

Datendiebstahl und Lücken

T-Mobile Österreich wurde in der Vergangenheit auch schon Opfer eines Datendiebstahls, bei dem Kundendaten erbeutet wurden. Diese waren allerdings verschlüsselt. In den vergangen Jahren fanden sich Sicherheitslücken in Routern, die der Mobilfunker verkauft. (sum, muz, apo, 7.4. 2018)