News Kundendaten im Netz: Deutsche Telekom rät zu Passwortwechsel

[el dios]

Was die Thematik angeht, in erster Linie ließt sich das so, als wenn die Kennwörter im Klartext in deren Datenbank stehen und man diese nun benutzen kann

Nein, ich bin mir ziemlich sicher, dass die Passwörter nicht im Klartext gespeichert werden. Dort liegen die Hash-Werte zu den Kunden-Logins. Und jetzt wurden halt die im Darknet angebotenen Passwörter durch den Hash-Algorithmus gejagt und mit den Hashs in der Datenbank abgeglichen. So wäre es sauber

Immerhin wird es öffentlich gemacht und nicht vertuscht. Ist auch das einzig richtige, wenn das Kind einmal in den Brunnen gefallen ist.

Dem kann ich nur zustimmen. Die Telekom ist zwar nicht Schuld, aber geht dennoch das Risiko ein das mit so einer Nachricht verbunden ist. Man denke nur an die Schlagzeilen "Telekom Kundendaten veröffentlicht" - im Zusammenhang mit der Telekom geht doch immer wieder gerne ein Shitstorm los und solch reißerische Schlagzeilen werden ebenfalls gerne verwendet. Auch wenn das Unternehmen selbst nichts dafür kann. Davon gehe ich aufgrund der geringen Anzahl der Datensätze einfach mal aus. Sollten sie beispielsweise gehackt worden sein, würden wir hier von ganz anderen Dimensionen sprechen als 120.000 Datensätzen...

Ohnehin sind regelmäßige Passwortwechsel sowie eine Sensibilisierung der Nutzer extrem wichtig. Es gibt genug Leute, die für viele/alle Logins dieselben Passwörter benutzen. Und für die ist die sekundäre Gefahr durch weitere gekaperte Accounts, die vielleicht interessanter sind als derjenige von T-Online, nicht zu verachten!

 

[Domi83]

Also eines weiß ich, dass Kennwort für einen E-Mail Client (kann ja separat vergeben werden) liegt definitiv im Klartext im System. Denn durch einen klick auf "anzeigen" konnte mir das Kennwort im E-Mail Center angezeigt werden. Betrifft die Problematik denn jetzt nur dir E-Mail Geschichte, oder muss ich nun jedem Bescheid geben das sie ihre DSL Zugangsdaten auch ändern sollten?!

Das wäre bestimmt nervig für jeden aus meinem Bekannten- / Freundeskreis

Gruß, Domi

 

[arvan]

habe grad nachgeschaut, ich kann mich im Kundencenter jeweils über Mail oder Zugangsnummer oder Mobilfunknummer einloggen. Und das sind alles verschiedene Passwörter.

Ist schon lange zu einem Login verknüpft worden, d.h. einmal mit Festnetz eingeloggt, ist man auch mit Mobilfunk eingeloggt.
Du kannst zwar nen anderes Passwort bei E-Mail Abruf / Internetzugang setzen, aber das wars dann auch schon.

 

[Bartmensch]

Ich liebe Telekom!
Hab gestern erfolglos versucht, das Passwort beim Webmail Account meiner Eltern zu ändern.
Offensichtlich scheiterte es an der Überlastung der Server von T-Online.

Naja zumindest die 2 Punkte Authentifizierung ist jetzt aktiv...

 

[evilbaschdi]

Hätte mein Passwort gestern gerne noch geändert, aber innerhalb des Passwortänderungsprozesses wird mit mitgeteilt, dass meine Eingabe ungültig sei.

 

[ToniMacaroni]

Musst mal rechts schauen, da stehen die Kriterien für das neue Passwort.

Bei mir war das persönliche Kennwort für den Internetzugang gleich mit dem Passwort für die Webdienste (eMail, Kundencenter etc.). Hab jetzt beide mal geändert in zwei verschiedene.

 

[evilbaschdi]

Musst mal rechts schauen, da stehen die Kriterien für das neue Passwort.

Bei mir war das persönliche Kennwort für den Internetzugang gleich mit dem Passwort für die Webdienste (eMail, Kundencenter etc.). Hab jetzt beide mal geändert in zwei verschiedene.

Daran scheitert es leider nicht.

 

[AMDprayer]

Phishing oder nicht? Ich habe keine Nachricht von der Telekom. Meine E-mail Adresse dort wird lediglich von meiner Fritzbox zum versenden von Statusmails genutzt. Gibt es eine Chance dass ich betroffen bin und folglich den Login ändern sollte? Wirklich klar wird das bisher nicht. Gibt es denn eine Liste der betroffenen E-Mailadressen.

 

[ToniMacaroni]

Ändere doch einfach vorsorglich. Schaden kann's nicht.

 

[Wilhelm14]

Bei mir war das persönliche Kennwort für den Internetzugang gleich mit dem Passwort für die Webdienste (eMail, Kundencenter etc.). Hab jetzt beide mal geändert in zwei verschiedene.

Hast du probiert, ob du dich tatsächlich nicht mehr einloggen kannst. Was passiert, wenn du im Kundencenter die T-Online-Nummer und das Passwort für die DSL-Einwahl nimmst? Ich hatte (in der Vergangenheit) dabei ganz komische Phänomene, dass man sich z.B. mit dem "Persönlichen Kennwort" irgendwie immer überall einloggen konnte.

 

[Kenneth Coldy]

Phishing liest sich so, als würden die Daten im Klartext in der Datenbank stehen?

Sofern man die gephischten Personen als "Datenbank" bezeichnet - ja, so liest sich das.

 

[Grantig]

Weil in diesem Thread schon mehrere ihr Passwort fürs Kundenkonto nicht ändern konnten und ich gestern das gleiche Problem hatte, hier meine Lösung:

Wenn man einen Internetanschluss bei der Telekom hat, dann ist das Verbindungskennwort (im Kundenkonto: "persönliches Kennwort") gleichzeitig auch das Passwort fürs Kundenkonto.
Man muss also das "persönliche Kennwort" ändern und ändert dadurch gleichzeitig auch das Passwort fürs Kundenkonto.
Vorsicht: sobald man das "persönliche Kennwort" geändert hat muss man es auch im Router eintragen, sonst verweigert der Router die Verbindung ins Internet. (wie gesagt: persönliches Kennwort = Verbindungskennwort).


Btw das E-mail Passwort kann man getrennt festlegen und sollte man auch, da es offensichtlich im Klartext (oder zumindest nicht gehasht) gespeichert wird. Man kanns nämlich jederzeit im Kundenkonto einsehen.


Ich hoffe ich kann mit diesem Post ein paar Leuten etwas Ärger ersparen.
Das Telekom Kundencenter ist einfach eine Krankheit.

 

[Wilhelm14]

"Privates Kennwort"? Mir ist bis jetzt nur das "Persönliche Kennwort" bekannt. Und laut ToniMacaroni kann man fürs Kundencenter und die DSL-"Einwahl" verschiedene Kennwörter vergeben. Ja, das Kundencenter hat Potential. Ich würde die Kennwörter besser trennen und vor allem mit bezeichnenden Namen versehen wie DSL-Passwort, Kundencenter-Passwort, E-Mail-Passwort.

Sofern man die gephischten Personen als "Datenbank" bezeichnet - ja, so liest sich das.

 

[ToniMacaroni]

@Wilhelm
Tatsache. Ich habe zwar die Kennwörter geändert, beide sind jetzt unterschiedlich, aber ich kann mich trotzdem noch mit beiden im Kundencenter einloggen. Dann bräuchte es ja überhaupt keine getrennten Kennwörter geben.



Es gibt sogar noch ein separates eMail Passwort. Da habe ich mich noch nicht mit beschäftigt, da ich den eMail Dienst nicht nutze. Das werde ich jetzt auch noch ändern, habe dann 3 verschiedene Passwörter, naja, dank PW Manager kein Problem.

 

[Grantig]

@Wilhelm
Ja das Persönliche Kennwort meine ich, ich besser das mal aus damit keine Verwirrung aufkommt
Mit diesem Kennwort kommt man immer auch ins Kundencenter.

 

[Wilhelm14]

Die Verwirrung hat die Telekom ja angezettelt.
Es gibt ein "Passwort" und ein "Persönliches Kennwort".

@ToniMacaroni: Aha, ist das wirklich immer noch so schräg. Selbst habe ich das schon länger nicht mehr geprüft. Das "E-Mail-Passwort" ist übrigens für die Abfrage via IMAP/POP/SMTP. Per E-Mail-Programm (Outlook, Thunderbird,...) nimmt man zur Anmeldung an die Server dieses Passwort. Jetzt müsste man mal ausprobieren, wenn man sich mit dem "Persönlichen Kennwort" versucht am IMAP-Server anzumelden. Das "E-Mail-Passwort" ist nicht für die Abfrage via Browser im Webinterface. (Offiziell soll das zumindest nicht so sein.)

 

[BorstiNumberOne]

Ganz ehrlich: Es kotzt mich an. Die abertausende Meldungen Kundendaten seien gestohlen und allen wird zur Passwort Änderung geraten. Warum werde ich als Endkunde nicht entschädigt? Man muss mal bedenken, wie viel Zeit jeder einzelne benötigt und dann wie viele Kunden dies auf sich nehmen müssen. Das sind bei großen Lecks mal schnell Arbeitszeittechnisch Millionen Euro. Aber darüber wird anscheinend nie debattiert. Frei nach dem kapitalistischem Grundsatz Gewinne privatisieren, Schäden/Verluste sozialisieren.
Theoretisch müsste man auch daher jeden Tag die News-Seiten durchschauen, ob es nicht wieder einen Hack gab um auch zeitnah reagieren zu können. Zumindest schriftlich sollten die Unternehmen seine Kunden informieren müssen. Ich kenne viele Otto-Normal-Nutzer die von den Hacks nie etwas mitbekommen weil sie einfach nur die Basics im Netz nutzen.
Wie soll man da noch privat mal abschalten können? Wir Nutzer wollen schließlich auch mal Urlaub, Feierabend oder auch mal eine digitale Auszeit nehmen. Wer ist in der Pflicht?
Ich bekomme sehr oft das Gefühl, dass es sich um Falschaussagen handelt und die Daten aufgrund von schlechter/unzureichender Sicherung des Dienstanbieters in die Hände Dritter gelangt sind. Nachprüfbar ist dies sowieso nicht. Auch dort wünsche ich mir ein staatliches Kontrollorgan und einheitlich hohe Sicherheitsstandards.

Daumen hoch. In meinem Familien- und Bekanntenkreis hätte es auch keiner mitbekommen, weil nicht jeder die IT-News liest bzw. die Meldung im Radio falsch aufgefasst hat (... ist doch nur E-Mail-Konto, nutze ich eh nicht ...). Mittlerweile bin ich dagegen aber auch abgestumpft. Das letzte Mal habe ich Anfang 2014 bei den beiden Mega-Datenklau's alle PWs nach einem bestimmten Schema mit Prä- und Suffix geändert bzw. diese auch noch nach Diensten unterschieden (Haupt-Email einzigartig, alles was mit Shopping zu tun hat wie Amazon und Co., Foren, Online-Spiele-Portale, Socia Media Plattformen, etc). Das Telekom-Passwort habe ich bei mir aber trotzdem geändert, v.a. aber weil es eines war, was noch nicht an meine Schemata von 2014 angepasst war. Wenn man jeder Datenklaumeldung nachgehen müsste, könnte man fast jeden Tag ca. 30 PWs ändern. Nein, danke.

 

[engine]

PW ändern bringt nichts, einmal Zugriff, sind die Daten (Mails) schnell mal herunter kopiert.
Telekom hat einen erhöhten Datendownload bemerkt und alles gestoppt ?

Mit der OTP-Authentifizierung wäre das "NUR" halb so schlimm.
Und ich darf jetzt wieder ca. 10 T-PWs ändern ... nee ! Habe keine Warnmail von Telekom erhalten,
ach, die haben ja die Verbrecher gelöscht ^^ .

...Von einem Hacker-Angriff auf die Telekom-Systeme geht man derzeit aber nicht aus...

Wie jetzt, liegen meine PWs in irgendeiner Form auf dem T-Server? Oder NUR der Hash, könnten Hacker mit dem Hash etwas anfangen ?