News Datenleck bei IdentifyMobile: Fast 200 Millionen SMS für 2FA im Klartext einsehbar

[Suspektan]

Es zeigt nur nochmal, dass 2FA per SMS (und E-Mail) endlich abgeschafft gehört.

genau das

Aber für Abholungen aus amazon Locker - Packstationen wird der Code nun mal per email oder sms versandt, praktischerweise wird in der Mail auch immer der jeweilige Standort mitangegeben, als ob man diesen nicht selbst zuvor ausgewählt hätte und nicht eh schon kennen würde.
Wobei das natürlich nichts mit 2FA zu tun hat

 

[M@tze]

Da liegt die Vermutung nahe, das die bei 2FA letztlich genauso schludrig sind und am Ende gar nicht so viel Sicherheitsgewinn übrig bleibt.

Naja, zumindest bleibt wenigstens noch 1FA übrig - besser als nichts.

befand sich die Datenbank auf einem ungesicherten S3-Server von Amazon, die Sicherheitsforscher mussten also keine Hindernisse überwinden. Die Daten standen offen im Netz. IdentifyMobile hatte den Server offenbar falsch konfiguriert

Deswegen lassen wir unsere ganzen S3 Instanzen auch immer direkt vom AWS Team selber konfigurieren. Ist teurer und natürlich können auch die Fehler machen, aber die kennen sich eben am Besten bei ihrem eigenen Krempel aus. Sowas im geschäftlichen Umfeld selber zu konfigurieren halte ich für "an der falschen Stelle gespart", es sei denn man hat dafür ein dediziertes internes Team mit entsprechender Zertifizierung.

 

[Cant4ria]

Insgesamt umfasste der Server mehr als sechs Terabyte. Neben den SMS zählen dazu auch interne Verwaltungs- und Abrechnungsdaten.

Der Punkt wundert mich ebenfalls.

Ich wäre meinen Job los würde sich das alles auf denselben Server befinden.

 

[Conqi]

Aber für Abholungen aus amazon Locker - Packstationen wird der Code nun mal per email oder sms versandt.

Das ist allerdings auch bedeutend unkritischer und ggf. auch kundenfreundlicher als dass man zwangsweise die Amazon-App braucht.

Ich wäre meinen Job los würde sich das alles auf denselben Server befinden.

Es handelt sich dabei ja anscheinend um ein Backup. Da trennt man normalerweise nicht nach Inhalten.

 

[Suspektan]

Das ist allerdings auch bedeutend unkritischer und ggf. auch kundenfreundlicher als dass man zwangsweise die Amazon-App braucht.

Ja, allerdings würde ich auf email/sms Versand des Abholcodes lieber verzichten und mich via 2FA (offline generiert) in meinem amazon Konto einloggen, um dort den Code einsehen zu können.
Unkritisch weiß ich nicht, JEDER mit dem passenden Abholcode kann die Ware ohne weitere Identifizierung entnehmen

 

[Weyoun]

Ja wenn. Ich kann mir aber fast nicht vorstellen, dass die nur so kurz gültig sind bei den meisten Diensten. Man muss ja erstmal den Leuten Zeit geben, ihr Handy zu suchen.

Ich kann nur für die Sparkasse, DKB, Cortal Consors und die VW Bank sprechen: Dort wird man automatisch nach 5 Minuten ausgeloggt, wenn man den 2FA-Code nicht pünktlich eingibt. Andere Banken können das natürlich auch anders handeln.

Wenn alle 5 Minuten aktualisiert wird, dann heißt das nicht, dass die Daten auch 5 Minuten alt sein müssen. Da werden alle Codes gesichert, die in dem Moment zwischen 1 Sekunde und 5 Minuten alt sind. Wenn ein Angreifer den Rhythmus kennt, kann er das Zeitfenster der Code-Generierung also mit Leichtigkeit einschränken.

Prinzipiell stimmt das schon, da sind aber viele "Wenn und Aber" als Voraussetzungen zu erfüllen.

In dem Fall schon. Super-GAU bezeichnet einen Vorfall, der über den größten anzunehmenden Unfall hinaus geht. Also ein Vorfall, der vorher nicht mal bedacht wurde.

Für mich als Ingenieur gibt es keine Steigerung des größten "anzunehmenden" Unfalls: Ich stelle mir darunter vor, eine Höllenmaschine zu entwickeln, die das ganze Universum in Stücke reißt. Was geht darüber hinaus?

Am Ende ists aber einfach eine Redewendung. Klingt doch auch viel cooler.

Als Techniker und Ingenieur sehe ich das prinzipbedingt anders.

 

[s1ave77]

Dort wird man automatisch nach 5 Minuten ausgeloggt

Postbank dasselbe.

Was geht darüber hinaus?

Technisch gesehen, kann das Universum nicht verschwinden, nur umgewandelt werden, sagt zumindest die Thermodynamik. Man könnte also auf den Resten 'herumtrampeln' .

Super-GAU ergibt trotzdem keinen Sinn, die Idee GAU zu steigern impliziert zudem, es könne noch einen Mega-, Tera-, u.s.w.u.s.f.-GAU geben.

 

[Tomsenq]

Artikel auch gelesen?

Das heißt, wer aktiv jemanden angreifen wollte, musste einfach nur ein paar Minuten warten bis der Code abrufbar war. Das IST der Super-GAU für einen 2FA-Anbieter. So ein SMS-Code ist (anders als TOTP) ja im Normalfall schon einige Minuten gültig.

Dieser müsste aber auch bereits Zugriff auf das korrekte Passwort für den jeweiligen Account haben sonst bringt ihm der SMS Code nichts.

 

[Cokocool]

Wie Zeit Online berichtet, befand sich die Datenbank auf einem ungesicherten S3-Server von Amazon, die Sicherheitsforscher mussten also keine Hindernisse überwinden.

Öffentlicher S3-Bucket. Es gibt keinen "ungesicherten S3-Server" - es gibt auch keine S3-Server (in der Realität schon, aber die sind komplett abstrahiert und unsichtbar für den Kunden)

Deswegen lassen wir unsere ganzen S3 Instanzen auch immer direkt vom AWS Team selber konfigurieren. Ist teurer und natürlich können auch die Fehler machen, aber die kennen sich eben am Besten bei ihrem eigenen Krempel aus

Was sollen S3 Instanzen sein ? Es gibt S3 Buckets. Ein S3 Bucket ist per default privat und jeder öffentliche Zugriff wird blockiert. Da muss man schon selber etwas falsch einstellen, damit jeder drauf kann

 

[Conqi]

Unkritisch weiß ich nicht, JEDER mit dem passenden Abholcode kann die Ware ohne weitere Identifizierung entnehmen

Dann muss man den Code aber auch einer Bestellung, bzw. einem Abholort zuordnen können. Steht der mit in der SMS? Wenn nicht, sind die Codes recht wertlos.

Ich kann nur für die Sparkasse, DKB, Cortal Consors und die VW Bank sprechen: Dort wird man automatisch nach 5 Minuten ausgeloggt, wenn man den 2FA-Code nicht pünktlich eingibt. Andere Banken können das natürlich auch anders handeln.

Da reden wir aber auch alles über Banken. Die Codes dort kommen hoffentlich nicht mehr per SMS. Zumindest von der DKB weiß ich das aus eigener Erfahrung.

Wenn ich mich aber bei einem Dienst einlogge und der will eine SMS als Bestätigung, habe ich das definitiv auch schon mal mehr als 5 Minuten später gemacht, weil das Handy nicht im Raum lag.

Prinzipiell stimmt das schon, da sind aber viele "Wenn und Aber" als Voraussetzungen zu erfüllen.

Also festzustellen, dass der Inhalt sich alle 5 Minuten aktualisiert, ist jetzt echt kein Aufwand. Das passiert vermutlich sogar aus Versehen, weil man irgendwelche Zeitstempel sieht.

Für mich als Ingenieur gibt es keine Steigerung des größten "anzunehmenden" Unfalls

Dann hast du das Konzept nicht verstanden. Super-GAU ist kein reißerischer Begriff der Boulevardpresse.

Beispiel Atomkraftwerk wo der Begriff ursprünglich herkommt: Man plant ggf. für explodierende Druckkessel, ausfallende Kühlwasserpumpen, etc. (der GAU) und trifft Vorkehrungen, um eine Kernschmelze zu verhindern.
Alles wo dennoch größere Mengen Strahlung austreten ist dann ein Super-GAU, weil offensichtlich nicht ausreichende Vorbereitungen für dieses Szenario getroffen wurden.

Deine Unviversums-zerstörende Todesmaschine plant zum Beispiel niemals jemand in seine Risikobewertung ein. Daher ist das eben kein anzunehmender Unfall.

Super-GAU ergibt trotzdem keinen Sinn, die Idee GAU zu steigern impliziert zudem, es könne noch einen Mega-, Terra-, u.s.w.u.s.f.-GAU geben.

Super bedeutet in diesem Fall nicht "extrem" oder "sehr viel", sondern einfach nur "darüber (hinaus)". In vielen Fällen werden solche Konzepte auch mit dem Präfix "Supra" statt Super ausgedrückt in der Physik. Supraleitung impliziert dann aber auch nicht, es gäbe Hyperleitung, wo am Ende mehr Strom raus als rein kommt oder so.

Dieser müsste aber auch bereits Zugriff auf das korrekte Passwort für den jeweiligen Account haben sonst bringt ihm der SMS Code nichts.

Ja klar, aber der MFA-Dienst ist damit faktisch dennoch unbrauchbar gewesen und es war höchstens Glück, wenn das niemand vorher gefunden hat. MFA wird ja gerade deshalb eingesetzt, weil die Leute scheiß Passwörter haben, diese wiederverwenden, bereitwillig rausgeben, etc.

 

[Suspektan]

Dann muss man den Code aber auch einer Bestellung, bzw. einem Abholort zuordnen können. Steht der mit in der SMS? Wenn nicht, sind die Codes recht wertlos.

In der sms nicht, in der Mail schon.

 

[TigerNationDE]

Wieder ein Datenschutzthema für das ein großes Unternehmen eine läppische Summe zahlen wird (wenn überhaupt) während der kleine Mann oder die kleine Frau, während sie eine kleine Dorfdisco betreiben, richtig teuer zahlen muss wenn es Bilder der falschen Leute gibt.

Diese Datenschutz und DSGVO Sache ist so dermaßen witzlos.

Meta Google und Co. rechnen die Schadenersatzsummen wahrscheinlich ins Jährliche Budget mit ein, und die kleinen gucken in die Röhre.

Ergänzung (11. Juli 2024)

Da reden wir aber auch alles über Banken. Die Codes dort kommen hoffentlich nicht mehr per SMS. Zumindest von der DKB weiß ich das aus eigener Erfahrung.

Volksbank hat VR Secure als App. Da is auch nix mehr mit SMS. Wurde glaub 2022/2023 komplett abgeschafft

 

[habla2k]

Nur bei Kreditkartenzahlung wird leider noch nahezu ausschließlich auf SMS gesetzt.

? Also bei meiner VISA läuft das über dieses "3D Secure" auch nur über die Auth App meines KK Anbieters. Welche Kreditkarte versendet denn da SMS?

 

[silentdragon95]

2FA Codes in Apps sind solange toll, bis der Synchronisationsdienst der App gehackt wird (hust Authy hust) oder man eben kein Cloud-Backup der 2FA-App hat und dann sich das Handy schrottet.

Ich finde beide Lösungen in der Praxis scheiße.

 

[flappes]

Einmal mit Profis arbeiten, nur einmal!

 

[andy_m4]

Ja gut, aber ab dem Punkt ist alles egal.

Ja. Richtig. Deswegen sag ich ja: Gegen Unternehmen die Security schlampig umsetzen hilft kein 2FA. Weil dann ist die Chance groß, das es damit auch nicht besser wird.
Erst wenn man nicht mehr herumpfuscht, hat man überhaupt die Möglichkeit, das 2FA eine signifikanten Sicherheitsgewinn zu haben.
Ist eigentlich ne triviale Einsicht. In der allgemeinen, öffentlichen Diskussion findet die aber viel zu wenig Beachtung. Da wird 2FA eher so wahrgenommen, das wer das anbietet, automatisch als sicherer gilt. Und das ist eben nicht so. Und das demonstriert dieser Vorfall ganz gut.

Zumal bei MFA über SMS das Problem besteht, dass wie hier fast immer noch ein zusätzlicher Dienst involviert ist. Das erhöht die Angriffsfläche unnötigerweise.

Ja. Ich will mich hier auch nicht so verstanden wissen, das SMS/2FA ne gute Idee ist. Das hat seine Schwächen, weshalb ist in meiner Aussage "muss man ordentlich machen" inkludiert ist.

 

[JustAnotherTux]

Das heißt, wer aktiv jemanden angreifen wollte, musste einfach nur ein paar Minuten warten bis der Code abrufbar war. Das IST der Super-GAU für einen 2FA-Anbieter. So ein SMS-Code ist (anders als TOTP) ja im Normalfall schon einige Minuten gültig.

Meinstens aber <= 5 Minuten nach meiner Erfahrung.

 

[Haggis]

oder man eben kein Cloud-Backup der 2FA-App hat und dann sich das Handy schrottet.

Oder wenn der Zugriff auf die Cloud selbst auch von dem Token abhängt.

 

[R4Z3R]

As usual: Riesen Theater, praktische Auswirkungen null.

Einfach mal locker bleiben: keiner interessiert sich für euer 50-€-Amazon-Paket und 99,9 % der erfolgreichen Angriffe sind Social Engineering und nicht Rowhammer-Angriffe, exotische Zero-Days oder sonstwas ähnliches.

Die Anzahl erfolgreicher Angriffe auf seriöse Banken und Zahlungsanbieter, bei denen der Verbraucher an Ende auf dem Schaden sitzen blieb, ist verschwindend gering.

Und 2FA via SMS ist völlig okay, halt nur nicht unbedingt auf dem Level wie andere Verfahren (und selbst da wäre ich nicht so sicher, die internen Protokolle ändern sich ja auch, selbst wenn es an Ende wie eine SMS ad usual aussieht)

Wie beim Datenschutz herrscht auch hier wieder German Angst ohne Maß.

Ein "Super-Gau" ohne dass offensichtlich auch nur ein Verbraucher zu Schaden gekommen ist, das ist halt Quatsch.

 

[Weyoun]

Technisch gesehen, kann das Universum nicht verschwinden, nur umgewandelt werden, sagt zumindest die Thermodynamik. Man könnte also auf den Resten 'herumtrampeln' .

Sobald Big Rip, Big Crunch oder Big Freeze einsetzen, verlieren Physik und Chemie langsam ihre Gesetze.

Super-GAU ergibt trotzdem keinen Sinn, die Idee GAU zu steigern impliziert zudem, es könne noch einen Mega-, Tera-, u.s.w.u.s.f.-GAU geben.

Der Super-Mega-Duper-Hyper-GAU findet statt, wenn Ultimate Boo sogar Vegetto besiegt.