Aufgrund einer Sicherheitslücke war es möglich, Kundendaten auf der Website des Mobilfunkers T-Mobile US einzusehen. Der Sicherheitsforscher Ryan Stevenson hatte die Lücke auf der Subdomain promotool.t-mobile.com entdeckt, mittlerweile ist sie geschlossen. Bei der Domain handelt es sich eigentlich um ein internes Kundenservice-Portal.

Daten auslesbar

Jedoch konnten Suchmaschinen darauf zugreifen. Eine versteckte API, also Schnittstelle zur Anwenderprogrammierung, erlaubte es, durch Anfügen einer Mobiltelefonnummer umfassende Informationen über einen Kunden zu erfahren. Angezeigt wurden etwa Daten zum vollen Namen, der Adresse, der Nummer des Abrechnungskontos, Steuernummern und sogar Account-PINs. Bei letzterem handelt es sich um jene Nummernfolge, die abgefragt wird, wenn man den Support anruft. Somit wäre es theoretisch möglich gewesen, das Kundenkonto gänzlich zu übernehmen.

Stevenson warnte T-Mobile Anfang April, am kommenden Tag war die Lücke geschlossen. Jedoch war das nicht der erste Security-Patzer des US-Ablegers. Bereits im vergangenen Jahr hatten Sicherheitsforscher ein ähnliches Problem entdeckt. T-Mobile US beteuert, dass Kriminelle die Lücken nicht ausgenutzt hätten. Eine Recherche von Vice legt allerdings nahe, dass Hacker sie bereits Wochen vor ihrer Schließung gekannt hatten. (red, 25.5.2018)