Update, 11.04.2018: Mittlerweile hat T-Mobile Austria auf das Sicherheitsdebakel um die unsicheren Datenbanken mit im Klartext gespeicherten Passwörtern reagiert. Wie TheVerge berichtet, versprach ein Sprecher des Konzerns ein zügiges Sicherheitsupdate.
Künftig sollen alle Passwörter nur noch als Hash-Variante gespeichert werden. Außerdem will T-Mobile im Webshop und Callcenter sowie vergleichbaren Kundenkanälen zusätzliche Maßnahmen einführen, um die Sicherheit der Nutzer zu erhöhen. Diese Updates sollen »so schnell wie möglich« erfolgen.
Originalmeldung: T-Mobile Austria hat offenbar ein massives Sicherheitsproblem: Denn wie Golem berichtet, speichert der Konzern die Passwörter der Kunden als Klartext in noch dazu unsicheren Datenbanken.
Auf Twitter hatte ein Nutzer zunächst beklagt, dass die T-Mobile in Österreich Passwörter als Klartext speichere, weil Mitarbeiter diese abfragen. T-Mobile gab anschließend zu, dass dies korrekt sei, Mitarbeiter würden aber nur die ersten vier Buchstaben des Passworts sehen.
»Ja, unsere Sicherheitsmaßnahmen sind so gut«
In der Folge entwickelte sich auf Twitter ein kleiner Flame-War zwischen Kunden und dem Support der T-Mobile Austria. Auf den Hinweis eines Nutzers, dass die Speicherung von Passwörtern in Klartext extrem unsicher sei und die Gefahr eines Hacks bestehe, erklärt T-Mobile: »Was, wenn das niemals passiert, weil unsere Sicherheit unfassbar gut ist?«
Als ein weiterer Nutzer darauf verweist, dass keine Infrastruktur so sicher sein könne, einen derartigen Hack abzuwehren, gibt sich der T-Mobile-Support leicht eingeschnappt - ein Fehler, wie sich herausstellen sollte. Denn die IT-affine Community unterzieht die Datenbanken der T-Mobile Austria sogleich einem Sicherheitstest, mit verheerenden Ergebnissen.
Cross-Site-Scripting-Lücken und veraltete Software
Unter anderem stellten die Nutzer fest, dass die Webseiten der T-Mobile Austria vor Cross-Site-Scripting-Lücken wimmeln und auf veraltete Software setzen. Es kommen unter anderem PHP 5.1.6 und überholte Wordpress-Versionen zum Einsatz.
In einem tiefer gehenden Test fand die Golem-Redaktion außerdem heraus, dass sich die Zugangsdaten für die MySQL-Datenbank per Git-Repository zugänglich machen ließen. Zwar hat T-Mobile diese Sicherheitslücke nach Bekanntmachung durch Golem offenbar behoben. Für die angeblich »unfassbar gute Sicherheit« der eigenen Infrastruktur spricht der Vorfall allerdings nicht gerade.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.