News Datenleck bei IdentifyMobile: Fast 200 Millionen SMS für 2FA im Klartext einsehbar

[Andy]

Der Chaos Computer Club (CCC) ist auf ein Datenleck bei dem Massen-SMS-Versender IdentifyMobile gestoßen, den zahlreiche Anbieter beim Login für die 2-Faktor-Authentifizierung (2FA) nutzen. Fast 200 Millionen SMS von mehr als 200 Unternehmen waren so einsehbar, der Datenbestand reichte bis zum August 2023.

Zur News: Datenleck bei IdentifyMobile: Fast 200 Millionen SMS für 2FA im Klartext einsehbar

 

[u-blog]

Zum Glück sind diese 2FA Codes immer nur kurze Zeit gültig, das einzige was beim Leck rumkommt, ist dass Handynummer X als 2FA bei Firma Y registriert ist.

Also peinlich und datenschutztechnisch nicht Ideal, aber sicherheitstechnisch kein riesiger Deal.

 

[andy_m4]

Mag ja sein, das der Vorfall noch relativ harmlos war.
Aber eins zeigt sich: 2FA allein ist noch kein Garant für Sicherheit. Es kommt auch darauf an, das man es ordentlich macht.
Und ich befürchte ja, bei diesem "ordentlich machen" liegt so einiges im Argen.
Denn 2FA machen ja heutzutage so ziemlich alle. Also inklusive der, die vorher schon nicht für ähm ... High-Security bekannt waren. Da liegt die Vermutung nahe, das die bei 2FA letztlich genauso schludrig sind und am Ende gar nicht so viel Sicherheitsgewinn übrig bleibt.

 

[Conqi]

Zum Glück sind diese 2FA Codes immer nur kurze Zeit gültig

Artikel auch gelesen?

Im Fall von IdentifyMobile bestand aber das Problem, dass es sich bei dem Server scheinbar um ein Backup-System gehandelt hat, das alle fünf Minuten aktualisiert worden ist

Das heißt, wer aktiv jemanden angreifen wollte, musste einfach nur ein paar Minuten warten bis der Code abrufbar war. Das IST der Super-GAU für einen 2FA-Anbieter. So ein SMS-Code ist (anders als TOTP) ja im Normalfall schon einige Minuten gültig.

Aber eins zeigt sich: 2FA allein ist noch kein Garant für Sicherheit. Es kommt auch darauf an, das man es ordentlich macht.

Es zeigt nur nochmal, dass 2FA per SMS (und E-Mail) endlich abgeschafft gehört. Einen TOTP-Code auf deinem Gerät greift dir nämlich keiner so leicht ab. Da muss schon Zugriff direkt auf dem Server des Betreibers bestehen und ab dem Punkt ist eh alles egal.

 

[Weyoun]

Das heißt, wer aktiv jemanden angreifen wollte, musste einfach nur ein paar Minuten warten bis der Code abrufbar war. Das IST der Super-GAU für einen 2FA-Anbieter.

Wenn die SMS aus der 2FA nur maximal 5 Minuten gültig sind, der Angreifer aber nur alle 5 Minuten ein neues Backup "erbeuten" kann, ist man als Endanwender schon relativ sicher.
Zum Thema "Super-GAU": Man kann einen Superlativ nicht mehr steigern.

Es zeigt nur nochmal, dass 2FA per SMS (und E-Mail) endlich abgeschafft gehört.

Die meisten Banken setzen ja mittlerweile auf 2FA mittels eigener App auf dem Smartphone, wo man zum Einloggen und Freigeben von Überweisungen jedes Mal erst die Aktion bestätigen muss. Nur bei Kreditkartenzahlung wird leider noch nahezu ausschließlich auf SMS gesetzt.

 

[1techniker]

Es zeigt nur nochmal, dass 2FA per SMS (und E-Mail) endlich abgeschafft gehört. Einen TOTP-Code auf deinem Gerät greift dir nämlich keiner so leicht ab. Da muss schon Zugriff direkt auf dem Server des Betreibers bestehen und ab dem Punkt ist eh alles egal.

Problematisch wird es, wenn die Zweifaktor App auf den gleichen Gerät liegt, mit dem man auch auf die gesicherte Anwendung zugreift. Wie viele Leute machen Banking nur noch vom Handy aus. Ob die dann ein zweites Telefon für den zweiten Faktor einsetzen bezweifle ich. Einzig die Sicherung der Zweifaktor App durch ein separates Passwort oder Biometrie bietet dann noch einen ausreichenden Schutz.

 

[Conqi]

Wenn die SMS aus der 2FA nur maximal 5 Minuten gültig sind,

Ja wenn. Ich kann mir aber fast nicht vorstellen, dass die nur so kurz gültig sind bei den meisten Diensten. Man muss ja erstmal den Leuten Zeit geben, ihr Handy zu suchen.

Außerdem:

der Angreifer aber nur alle 5 Minuten ein neues Backup "erbeuten" kann, ist man als Endanwender schon relativ sicher.

Wenn alle 5 Minuten aktualisiert wird, dann heißt das nicht, dass die Daten auch 5 Minuten alt sein müssen. Da werden alle Codes gesichert, die in dem Moment zwischen 1 Sekunde und 5 Minuten alt sind. Wenn ein Angreifer den Rhythmus kennt, kann er das Zeitfenster der Code-Generierung also mit Leichtigkeit einschränken.

Zum Thema "Super-GAU": Man kann einen Superlativ nicht mehr steigern.

In dem Fall schon. Super-GAU bezeichnet einen Vorfall, der über den größten anzunehmenden Unfall hinaus geht. Also ein Vorfall, der vorher nicht mal bedacht wurde.

Am Ende ists aber einfach eine Redewendung. Klingt doch auch viel cooler.

Wie viele Leute machen Banking nur noch vom Handy aus. Ob die dann ein zweites Telefon für den zweiten Faktor einsetzen bezweifle ich

Ja gut, aber was hilft es da, wenn der Code per SMS oder E-Mail kommt? Das landet auch beides auf dem Smartphone.

Zudem ist MFA dann trotzdem noch sichergestellt. Das Handy selbst ist der zweite Faktor zusätzlich zum Passwort/Biometrie der Banking-App. Wer nur das Passwort oder nur das Handy hat, kommt trotzdem nicht rein.
MFA per Code ist an sich damit nur im Browser nötig, weil der Login dort von überall geht. Die Banking-App kann man aber nicht ohne Weiteres auf jedem Gerät einrichten.

 

[Syrato]

Zum Glück sind diese 2FA Codes immer nur kurze Zeit gültig, das einzige was beim Leck rumkommt, ist dass Handynummer X als 2FA bei Firma Y registriert ist.

Also peinlich und datenschutztechnisch nicht Ideal, aber sicherheitstechnisch kein riesiger Deal.

Einige Minuten..., das ist ein apokalyptisches Desaster.

 

[s1ave77]

Aber eins zeigt sich: 2FA allein ist noch kein Garant für Sicherheit.

Geht schon, man muß nur passive Verfahren nutzen, ohne Möglichkeit zum Abfangen oder Ermüdungsangriffe auf aktive Push-Verfahren, wie Google es u.a. nutzt.

TOTP, Nummer rotiert in kurzer Frequenz. Abfangen zwecklos, Token ist schon out und verbrannt, das kann keiner mehr nutzen.

Problematisch wird es, wenn die Zweifaktor App auf den gleichen Gerät liegt

Nur bedingt. Derartige Tools setzen zwingend Auth über PIN/Pass oder Biometrie voraus. Per App!

Die Token bei OTP haben keinerlei Mißbrauchspotential, ohne die App. Die können nicht weitergenutzt werden.

Ermüdungsangriffe fallen automatisch weg,

 

[Ganjaware]

Wer nur das Passwort oder nur das Handy hat, kommt trotzdem nicht rein.

Das ist der springende Punkt.
Problematisch ist, wenn beides auf einem Smartphone erledigt wird, dann reicht EINE intelligente Schnüffel-App bereits aus.

@mae1cum77​

wenn APP "z.B. Amazon-login" geöffnet, dann "OCR-Screenshot" jede Sekunde für xx Sekunden an
"Hacker-Server" -> Passwort und SMS-Pin.

 

[andy_m4]

Einen TOTP-Code auf deinem Gerät greift dir nämlich keiner so leicht ab.

Mag ja alles sein. Das bringt Dir aber recht wenig, wenn deren Server kompromittiert ist.
Es bringt mir auch wenig, wenn mein Rechner kompromittiert ist. Weil dann kann alles was auf meinem Computer angezeigt ist, manipuliert sein. Sprich: Ich mache eine Überweisung im Online-Banking und mein Computer zeigt die richtige Ziel-IBAN und richtige Summe an, ändern die aber im Hintergrund.
Es reicht also nicht wenn mein 2FA nur ein Code anzeigt etc, der muss auch mir anzeigen, was ich bestätige. Auch das muss dann die konkrete Implementierung mit abdecken.

An meiner Aussage: "Bringt nur was, wenn man es ordentlich macht" rüttelst Du damit also nicht.

 

[Fegr8]

Da muss schon Zugriff direkt auf dem Server des Betreibers bestehen und ab dem Punkt ist eh alles egal.

Muss es nicht. Das Problem sind die 6-10 Backup-Codes! Diese sind manchmal durch das Passwort gesichert, aber nicht immer. Und das habe ich schon bei einem Kollegen festgestellt, der hat sich ein Backdoor installiert und die bösswillige Person ist einfach, wenn die Webseite oder der Client offen (also mit 2FA angemeldet)war in die Einstellung gegangen und hat sich schlicht die Backup-Codes kopiert. Dann noch ein schönen Keylogger drauf um das Passwort abzufischen!

Manche haben dann eine Lösung entwickelt das du noch extra ein E-Mail oder SMS bekommst wo du extra per Link bestätigst das du die Backup-Codes sehen kannst, aber bringt halt nicht wenn dann zufällig dein Mail-Programm auch auf den gleichen kompormitierten Rechner läuft!

 

[Pr0krastinat0r]

Oft ist es leider so, dass Angreifer das Passwort bereits besitzen und nur noch um 2FA herumkommen müssen. Eine Methode ist das Bombardieren von Nutzern mit 2FA Anfragen. Irgendwann drücken die meisten doch auf "Ja, das bin ich" und legen das Smartphone wieder weg, damit die ständigen Anfragen aufhöhren. 2FA per zufälligen, i.d.R. nur 30 Sekunden gültigen Codes ist da natürlich sicherer, aber auch nicht perfekt.

Ich habe meinen Kunden damals immer, immer, immer wieder gesagt: "Wenn Sie sich nicht selber aktiv jetzt in diesem Moment anmelden, dann bestätigen Sie keine 2FA Anfragen!" Besonders da ich bestens wusste, wie leichstinnig einige mit ihren Passwörtern umgingen Immer das gleiche, Geburtstage, auf Post-Its am Bildschirm festgeklebt, unter der Tastatur, etc.

Übrigens sollten Admins nie der Meinung sein, dass ihnen solche Fehler nie unterlaufen würden. Mein ehemaliger Chef hat mal gemerkt, dass sich bei uns im Betrieb eine gewisse Fahrlässigkeit und Arroganz ausbreitete, also machte er sich daran, uns mal ordentlich vorzuführen. Binnen weniger Tage hatte er von praktisch allen Admins die Kennwörter und hat dann zum Firmenevent Schmähpokale verteilt. Entsprechend doof guckten wir dann aus der Wäsche.

 

[^Dodo.bW]

Mir stellt sich eher die Frage, warum die Daten nicht einfach verschlüsselt abgelegt wurden, vorallem wenn es sich um ein Backup-System handelt. Dann wäre das ganze halb so tragisch. Eine Fehlkonfiguration kann immer passieren, nur gut dass der CCC den Fehler bemerkt hat und nicht jemand anderes

 

[Conqi]

dann reicht EINE intelligente Schnüffel-App bereits aus.

Ganz so leicht ist das aber auch nicht. Spätestens wenn der Login in der App per Biometrie oder (gerätespezifischer) PIN erfolgt, kommt man kaum noch an das notwendige Passwort. Wessen Bank das nicht bietet, der sollte sich langsam mal von seiner Sparkasse lösen.

Angriffe über Trojaner auf Banking-Apps sind nicht umsonst die absolute Ausnahme. Da wird eher mit Social Engineering, Remote Zugriff, etc. gearbeitet. Ab dem Punkt hilft dann auch kein MFA der Welt mehr.

Für die allermeisten Leute dürfte Banking und MFA auf dem gleichen Smartphone jedenfalls keine relevante Gefahr darstellen. Der Chaos Computer Club hat das damals mit der Sparkasse mal demonstriert, aber das ist nun auch bald 10 Jahre her. Seitdem sind wir technisch weiter und ohne sehr tiefgreifenden Zugriff auf das Gerät ging auch damals schon nicht viel.

Das bringt Dir aber recht wenig, wenn deren Server kompromittiert ist.

Ja gut, aber ab dem Punkt ist alles egal. Deswegen ist es aber nicht empfehlenswert, als Passwort "Passwort123" zu verwenden. Zumal bei MFA über SMS das Problem besteht, dass wie hier fast immer noch ein zusätzlicher Dienst involviert ist. Das erhöht die Angriffsfläche unnötigerweise.

Es reicht also nicht wenn mein 2FA nur ein Code anzeigt etc, der muss auch mir anzeigen, was ich bestätige.

Das tun viele Apps für Überweisungen ja genau deshalb auch. Für einfache Logins (und um die ging es hier ja primär) kann man halt nicht viel anzeigen außer vielleicht den Standort.

Muss es nicht. Das Problem sind die 6-10 Backup-Codes!

Das stimmt, da hatte ich jetzt gar nicht dran gedacht. Idealerweise sind die nach der Ersteinrichtung gar nicht mehr zugreifbar. So kenne ich es auch von den meisten Diensten.

Mir stellt sich eher die Frage, warum die Daten nicht einfach verschlüsselt abgelegt wurden

Die korrekte Frage ist (wie auch im Artikel genannt): warum werden die Codes überhaupt gespeichert? Die braucht man nie wieder nachdem sie verwendet wurden.

 

[Fegr8]

Das stimmt, da hatte ich jetzt gar nicht dran gedacht. Idealerweise sind die nach der Ersteinrichtung gar nicht mehr zugreifbar. So kenne ich es auch von den meisten Diensten.

Ich kenne das nur bei den meisten 1-Backup-Code wo dann wenn du es eingibst MFA auf deinem Konto deaktiviert wird. Bei einem anderen Anbieter waren es 6 und danach nicht verfügbar. Aber Google oder Discord als Beispiel ist in den Einstellungen sichtbar (aber nach Passwort oder Bestätigung, ich weiß jetzt nicht ob man sogar doch schon 2FA benötigt)! Aber dann kannst ja auch wenn der Rechner kompromitiert ist irgendwas aufpoppen damit der User 2FA eingibt...auch zum deaktivieren von 2FA!

MFA/2FA ist genial und schütz vor dem meisten Angriffen die meist irgendwo auf einem Server die Passwörter abgegriffen wurde, Brute-Force oder Trojaner die nur ein Keylogger installieren.

Aber ist dein Rechner komprimiert mit einer Backdoor....dann ist es meist Game-Over!
Der Kollege hat ein fremdes PowerShell-Skript ausgeführt und das hat wirklich an alles gedacht:
Emails(wenn ein Outlook oder ähnliches installiert ist) umleiten wegen Passwörter oder Warnungen von Fremdzugriffen, ein Keylogger war natürlich dabei, Screenshot-Funkion durfte nicht fehlen und da war am nächsten Tag 2FA deaktiviert und gleich danach Email und Passwort geändert worden!

Zudem ist auch ein Problem mit Session-Cookies oder ähnliches...da kann auch manchmal 2FA umgangen werden.

Beste Lösung ist Passkey...aber das wird noch ein bisschen dauern!

 

[LuminousVision]

wenn APP "z.B. Amazon-login" geöffnet, dann "OCR-Screenshot" jede Sekunde für xx Sekunden an
"Hacker-Server" -> Passwort und SMS-Pin.

Wenn wir davon ausgehen ist es doch vollkommen egal, ob die 2FA-App auf dem selben Gerät liegt oder nicht. Denn das OTP wird bei der Eingabe so gut wie immer im Klartext angezeigt.

 

[s1ave77]

Passwort und SMS-Pin.

Ich sagte extra: keine aktiven und latent unsicheren Verfahren. Bei TOTP nützt dir das Token schon nach 30sek nichts mehr.

Zudem findet keinerlei direkte Kommunikation zwischen 2FA-Gerät und der Webseite statt. Die App und die Seite haben Secrets getausch, die für die Verifikation sorgen. Ich nutze auch nicht die Kopierfunktion, sondern gebe manuell ein.

Da kannst du mir gern über die Schulter schauen. Ohne meine OTP-App, kommst du nicht rein.

Denn das OTP wird bei der Eingabe so gut wie immer im Klartext angezeigt.

Siehe oben.

 

[Engaged]

Warum darf so etwas überhaupt so betrieben werden, und wie können die großen genannten Namen das ungeprüft in Anspruch nehmen?

Oder war das einfach nur ein NSA Zugang der jetzt entdeckt wurde?

 

[Gnarfoz]

Was ist ein "S3-Server"? Ist hiermit ein von der Firma selbst gehosteter, nicht-Amazon-S3-Dienst gemeint?

Der Vorfall zeigt, wie komplex es ist, Sicherheitsmechanismen adäquat zu etablieren.

Äh... S3-Buckets nicht auf "world readable" zu konfigurieren ist jetzt halt nicht wirklich die hohe Kunst.