Datenleck bei IdentifyMobile: Fast 200 Millionen SMS für 2FA im Klartext einsehbar
Der Chaos Computer Club (CCC) ist auf ein Datenleck bei dem Massen-SMS-Versender IdentifyMobile gestoßen, den zahlreiche Anbieter beim Login für die 2-Faktor-Authentifizierung (2FA) nutzen. Fast 200 Millionen SMS von mehr als 200 Unternehmen waren so einsehbar, der Datenbestand reichte bis zum August 2023.
Zu den betroffenen Unternehmen zählen unter anderem Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx und DHL. Laut dem CCC hatte IdentifyMobile die SMS in Echtzeit auf einem Server abgelegt. Wenn ein Angreifer nun Zugang zu diesem Live-Feed gehabt hätte, wäre es etwa möglich gewesen, sich – mit Kenntnis des Passworts – bei einem Online-Dienst anzumelden, um etwa Finanztransaktionen durchzuführen. Auch eine Übernahme der WhatsApp-Nummer wäre denkbar.
Noch handle es sich dem Datenleck aber um keinen Sicherheits-GAU. Die SMS ist in der Regel der zweite Faktor bei der Anmeldung, Angreifer würden also mindestens noch das Passwort benötigen.
Zusätzlich befinden sich auf dem Server aber zahlreiche One-Klick-Log-in-Links, heißt es in einem Bericht von Zeit Online, der noch zusätzliche Informationen enthält. Solche Einmal-Links gelten aus Sicherheitsgründen nur für eine kurze Zeit, sind nach Ablauf von normalerweise 15 bis 30 Minuten also nicht mehr zu gebrauchen. Im Fall von IdentifyMobile bestand aber das Problem, dass es sich bei dem Server scheinbar um ein Backup-System gehandelt hat, das alle fünf Minuten aktualisiert worden ist. Einmal-Links und Einmalpasswörter wären also lange genug gültig gewesen, um ausgenutzt zu werden.
Daten lagen ungesichert auf einem S3-Server
Das Sicherheitsleck entdeckten die Sicherheitsforscher zufällig. Der CCC sei „zur richtigen Zeit am richtigen Ort und konnte die Daten einsehen. Hierzu genügte es, die Subdomain ‚idmdatastore‘ zu raten“, heißt es in der Mitteilung. Neben SMS-Inhalten waren auch Rufnummern der Empfänger, Absendernamen und teils auch weitere Account-Informationen einsehbar.
Wie Zeit Online berichtet, befand sich die Datenbank auf einem ungesicherten S3-Server von Amazon, die Sicherheitsforscher mussten also keine Hindernisse überwinden. Die Daten standen offen im Netz. IdentifyMobile hatte den Server offenbar falsch konfiguriert und wurde erst durch die Hinweise des CCC auf den Fehler aufmerksam. Mittlerweile sind die Daten nicht mehr frei abrufbar.
Insgesamt umfasste der Server mehr als sechs Terabyte. Neben den SMS zählen dazu auch interne Verwaltungs- und Abrechnungsdaten.
Schwächen bei grundlegenden Sicherheitsaspekten
Ob die Lücke ausgenutzt wurde, lässt sich nicht sagen. Laut dem Zeit-Online-Bericht gebe es jedoch keine Hinweise dafür. IdentifyMobile wollte sich auf Anfrage nicht äußern.
Der Vorfall zeigt, wie komplex es ist, Sicherheitsmechanismen adäquat zu etablieren. So wäre es generell eine gute Idee, auf spezialisierte Anbieter zu setzen, erklärt der CCC-Sprecher Matthias Marx gegenüber Zeit Online. Das Problem ist aber, wenn so ein Anbieter seine Aufgabe nicht erledige. Wenn es sich dann um einen Koloss wie IdentifyMobile handelt, sei es umso bedenklicher. Denn die Prominenz der Kundenliste hat Konsequenzen. Das Unternehmen wirbt selbst mit der Aussage, mehr als fünf Milliarden Menschen zu erreichen.
Fraglich ist zudem, warum grundlegende Security-by-design-Aspekte missachtet worden sind. Diese betreffen nicht nur den fehlerhaft konfigurierten Server. Laut Marx sei etwa auch unklar, warum die SMS überhaupt gespeichert werden müssen.
CCC rät zu Alternativen zur SMS-2FA, wenn es denn möglich ist
SMS bei einer 2-Faktor-Authentifizierung zu verwenden, bewerten IT-Sicherheitsforscher ohnehin mit Skepsis. Das Verfahren sei besser als ausschließlich auf ein Passwort zu setzen, erklärt nun auch der CCC. Mit bekannten Angriffspfaden wie SIM-Swapping oder über per SS7 manipulierbare Mobilfunknetze lasse sich das System aber aushebeln, Datenlecks wie die bei IdentifyMobile sind eine weitere Schwachstelle.
Wenn Alternativen möglich sind, empfiehlt der CCC daher den Einsatz von Einmalpasswörtern, die per App generiert werden, oder den Einsatz von Hardware-Token. Falls nicht, sei ein zweiter Faktor aber in jedem Fall besser als nur einer – und der ist in der Regel das Passwort.