/ Security / Bug auf T-Mobile-Website ermöglichte den Abruf vertraulicher Kundendaten

Bug auf T-Mobile-Website ermöglichte den Abruf vertraulicher Kundendaten

Moritz Rosenfeld on October 13, 2017 - 3:45 am in Security

In der Website t-mobile.com klaffte ein Sicherheitsleck, das die Abfrage von Kundendatensätzen durch potenzielle Angreifer erlaubte. Kunden aus Deutschland waren angeblich nicht betroffen.

Eine Sicherheitslücke soll Hackern bis vergangenen Freitag die Abfrage persönlicher Daten von T-Mobile-Kunden ermöglicht haben. Laut Sicherheitsforscher Karan Saini, der die Schwachstelle auf t-mobile.com entdeckte und meldete, hätten Angreifer lediglich die Telefonnummern der potenziellen Opfer benötigt, um per Skript Namen, E-Mail-Adressen, Kontodaten sowie die International Mobile Subscriber Identity (IMSI) einzusammeln. Wie aus einem Statement von T-Mobile gegenüber der IT-News-Website Motherboard hervorgeht, wurde die Lücke innerhalb von 24 Stunden nach Bekanntwerden geschlossen.

Laut Saini steckte der Fehler in der Programmierschnittstelle wsg.t-mobile.com, die nach Übergabe einer Telefonnummer ganze Datensätze von Personen zurückschickte. Wieviele Kundendaten tatsächlich gefährdet waren, ist derzeit unklar. Während der Sicherheitsforscher darauf hinwies, dass T-Mobile etwa 70 Millionen Kunden habe, beteuerte T-Mobile gegenüber Motherboard, dass nur eine kleine Anzahl von Datensätzen abrufbar gewesen sei. heise Security fragte bei der Deutschen Telekom nach – die erklärte, dass Daten von Kunden aus Deutschland nicht von dem Hack betroffen waren.

Video-Tutorial zeigt Website-Exploit

Nach Aussage von T-Mobile gibt es keine Hinweise darauf, dass tatsächlich Zugriffe auf Kundendaten stattgefunden hätten. Motherboard will allerdings mit einem Hacker gesprochen haben, der das Gegenteil behauptet: Demnach sei die Lücke auf der T-Mobile-Website schon seit mehreren Wochen bekannt gewesen. Für diese Behauptung spricht auch ein auf YouTube aufgetauchtes Video-Tutorial von Anfang August, das den Exploit der T-Mobile-Website demonstrieren soll. (ovw)

Read more on: Source

Comments are disabled