Webauftritt der Telekom unsicher
Der Chaos Computer Club (CCC) entdeckte große Sicherheitslücken im Webauftritt der Telekom. So seien sämtliche Online-Services des Dienstes T-Mart Web-Service angreifbar. Die Web-Services setzen auf das „OBSOC-Framework“. Die Kundendaten sollen so für jedermann einsehbar sein.
Dieser Umstand ist durch die Sicherheitslöcher im OBSOC-Framework begründet, die es möglich machen, beispielsweise durch das Austauschen einer einfachen Kundennummer in der Adresse auf fremde Daten zuzugreifen. Der CCC geht deshalb davon aus, dass sämtliche sensible Daten der OBSOC-Kundenkonten ungeschützt im Web zugänglich sind.
Dirk Heringhaus vom CCC äußerte sich wie folgt:
„Wenn auch von Seiten des Autors und der Redaktion „Datenschleuder“ keine Manipulationen am OBSOC-Datenbestand selbst vorgenommen wurden, muss davon ausgegangen werden, dass Angreifer mit genügend krimineller Energie sich in den Datenbeständen umgetrieben haben“
Nach eigenen Angaben hat Dirk Heringhaus die Telekom bereits seit einem Jahr auf die Sicherheitslücken aufmerksam gemacht und die Sache vertraulich behandelt. Da die Telekom jedoch bisher nur Symptome und nicht die eigentlichen Ursachen der Sicherheitslücken bekämpft hat, fordert man nun eine öffentliche Stellungnahme und eine unverzügliche Absicherung der Softwarebasis der Kundenverwaltung. Des Weiteren erwartet der CCC, dass die Telekom ihre Kunden über diesen Umstand informiert.
Der Chaos Computer Club hat ferner den Bundesbeauftragten für Datenschutz mit einer Liste versorgt, die viele offene Fehler am OBSOC-System aufzeigt und an die Regulierungsbehörde für Telekommunikation und Post (RegTP) weitergegeben werden soll. Das OBSOC-System ist eine online verfügbare Vertragsverwaltung, die alle sensiblen Daten eines Vertrages beinhaltet. Hierzu gehören neben Kundendaten und Vertriebsdaten ebenso die Art der Leistungen der Vertragspartner. Auf diese Daten soll natürlich eigentlich nur der jeweils Berechtigte zugreifen können.
Weitere Informationen zum Thema finden sich direkt auf der Webseite des CCC, auf der auch ein Downloadpaket bereit gestellt wird, dass sämtliche öffentlich zugänglichen Materialien enthält, so auch der Briefwechsel zwischen Dirk Heringhaus und der Telekom.