Passwörter im Klartext - T-Mobile Austria verspricht schnellstmöglich Besserung

Nach dem Klartext-Passwort-Debakel bei T-Mobile Austria verspricht der Konzern jetzt, schnellstmöglich die Sicherheit der betroffenen Datenbanken zu verbessern.

von Sara Petzold,
11.04.2018 13:13 Uhr

T-Mobile Austria speichert die Passwörter der eigenen Kunden offenbar in unsicheren Datenbanken als Klartext.T-Mobile Austria speichert die Passwörter der eigenen Kunden offenbar in unsicheren Datenbanken als Klartext.

Update, 11.04.2018: Mittlerweile hat T-Mobile Austria auf das Sicherheitsdebakel um die unsicheren Datenbanken mit im Klartext gespeicherten Passwörtern reagiert. Wie TheVerge berichtet, versprach ein Sprecher des Konzerns ein zügiges Sicherheitsupdate.

Künftig sollen alle Passwörter nur noch als Hash-Variante gespeichert werden. Außerdem will T-Mobile im Webshop und Callcenter sowie vergleichbaren Kundenkanälen zusätzliche Maßnahmen einführen, um die Sicherheit der Nutzer zu erhöhen. Diese Updates sollen »so schnell wie möglich« erfolgen.

Originalmeldung: T-Mobile Austria hat offenbar ein massives Sicherheitsproblem: Denn wie Golem berichtet, speichert der Konzern die Passwörter der Kunden als Klartext in noch dazu unsicheren Datenbanken.

Auf Twitter hatte ein Nutzer zunächst beklagt, dass die T-Mobile in Österreich Passwörter als Klartext speichere, weil Mitarbeiter diese abfragen. T-Mobile gab anschließend zu, dass dies korrekt sei, Mitarbeiter würden aber nur die ersten vier Buchstaben des Passworts sehen.

»Ja, unsere Sicherheitsmaßnahmen sind so gut«

In der Folge entwickelte sich auf Twitter ein kleiner Flame-War zwischen Kunden und dem Support der T-Mobile Austria. Auf den Hinweis eines Nutzers, dass die Speicherung von Passwörtern in Klartext extrem unsicher sei und die Gefahr eines Hacks bestehe, erklärt T-Mobile: »Was, wenn das niemals passiert, weil unsere Sicherheit unfassbar gut ist?«

Als ein weiterer Nutzer darauf verweist, dass keine Infrastruktur so sicher sein könne, einen derartigen Hack abzuwehren, gibt sich der T-Mobile-Support leicht eingeschnappt - ein Fehler, wie sich herausstellen sollte. Denn die IT-affine Community unterzieht die Datenbanken der T-Mobile Austria sogleich einem Sicherheitstest, mit verheerenden Ergebnissen.

Cross-Site-Scripting-Lücken und veraltete Software

Unter anderem stellten die Nutzer fest, dass die Webseiten der T-Mobile Austria vor Cross-Site-Scripting-Lücken wimmeln und auf veraltete Software setzen. Es kommen unter anderem PHP 5.1.6 und überholte Wordpress-Versionen zum Einsatz.

In einem tiefer gehenden Test fand die Golem-Redaktion außerdem heraus, dass sich die Zugangsdaten für die MySQL-Datenbank per Git-Repository zugänglich machen ließen. Zwar hat T-Mobile diese Sicherheitslücke nach Bekanntmachung durch Golem offenbar behoben. Für die angeblich »unfassbar gute Sicherheit« der eigenen Infrastruktur spricht der Vorfall allerdings nicht gerade.

» Security für Spieler - Grundlagentipps


Kommentare(62)

Nur angemeldete Benutzer können kommentieren und bewerten.

Gewinnspiel

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen