Licht in die Affäre rund um den als "Paris Hilton Hack" bekannt gewordenen Einbruch in den T-Mobile Sidekick des Celebritys - der unter anderem zahlreiche geheime Telefonnummern von Prominenten ans Licht der Öffentlichkeit brachte - bringen nun die Recherchen der Washington Post , der es offenbar gelungen ist mit einem der verantwortlichen Hacker in Verbindung zu treten. Mit zahlreichen Screenshots untermauert und von anderen Quellen abgesichert berichtet der noch Minderjährige wie der "Coup" gelungen ist, und auch wenn es die Internet-MythologInnen nicht gerne hören werden: Der Vorfall ist weder der vermeintlichen Dummheit von Paris Hilton noch dem Namen ihres Hundes zu verdanken.

Kombi

Vielmehr wurde der Hack durch die Kombination einer schweren Sicherheitslücke bei T-Mobile und simplem "Social Engineering" ermöglicht: Die verantwortliche Gruppe hatte schon Monate zuvor einen Fehler in der Webpräsenz des Mobilfunkers T-Mobile USA ausgemacht, die Funktion zum Neusetzen des Passworts ließ sich dazu ausnutzen, um den Account eines Sidekick-Benutzers zu übernehmen und alle darauf enthaltenen Daten auszuspähen.

Spannung

Nachdem man sich eine Zeit lang mit den Accounts von Bekannten gespielt habe, sei die Idee entstanden etwas "spannenderes" zu unternehmen und sich einen Prominenten vorzunehmen, damit der Hack auch genügend Aufmerksamkeit erfahren würde. Auf Paris Hilton sei man gekommen, da bekannt war, dass sie eine Sidekick benutze, schließlich hatte sie in den USA bereits Werbung für das Gerät gemacht.

Soziale Techniken

Das Problem dabei: Um in einen Account zu gelangen, muss dessen Telefonnummer bekannt sein, hier setzten die Hacker mit Social Engineering-Techniken an: Sie riefen bei einem lokalen T-Mobile-Store an und gaben vor T-Mobile-Mitarbeiter aus dem Hauptquartier der Firma zu sein. Das Gespräch eröffneten sie damit, dass sie angaben, dass ihnen berichtet worden sei, dass es im Store Netzwerkprobleme gäbe. Der Angestellte verneinte diese zwar, berichtete aber von regelmäßigen Verlangsamung des Internetverkehrs, die Hacker antworteten, dass eben dies der Grund ihre Anrufs sei. In Folge ließen sie sich die nicht öffentliche bekannte IP der T-Mobile Kundendatenbank geben sowie Login- und Passwort-Informationen.

Interesse

Damit ausgestattet war es den Hackern möglich an die Telefonnummern aller T-Mobile-KundInnen zu kommen, neben Paris Hilton habe man sich dabei noch aus Spaßgründen für einige andere Prominente interessiert. So haben die Hacker mehrmals bei Laurence Fishburne, dem Darsteller des Morpheus aus der Matrix-Trilogie, angerufen und ihn in Anspielung auf den Film dazu aufgefordert endlich "das Schiff zu übergeben".

Knacken

In Folge war es ein leichtes den Sidekick-Account von Paris Hilton zu übernehmen, als man die darauf enthaltenen Nacktfotos des Celebritys gesehen habe, sei den Hackern klar geworden, dass man hier einen Jackpot geknackt habe. Der Rest ist mittlerweile Internetgeschichte, die Bilder und die Telefonnummern der Stars verbreiteten sich in Windeseile im Netz, ein Umstand, der für einige Verärgerung unter den Betroffenen wie Christina Aguilera, Stephen King oder Eminem sorgte.

Unterschätzte Gefahr

SicherheitsexpertInnen sehen in dem Vorfall ein klassisches Beispiel für die fehlerhafte Sicherheitspolitik großer Unternehmen: Während Unmengen an Geld in den Aufbau einer technisch sicheren Infrastruktur investiert werde, werde der Unsicherheitsfaktor "Mensch" kaum beachtet. Unterbezahlte kleine Angestellte, die in Sicherheitsfragen kaum geschult werden, seien für Hacker ein leichtes Ziel.(apo)