T-Offline

Offen wie ein Scheunentor: die Kundendatenbanken OBSOC der Telekom.
Der Chaos Computer Club (CCC e.V.) hat schwerwiegende Sicherheitsmängel in der T-Com-Datenbank OBSOC (Online Business Solution Operation Center) entdeckt. Ohne größeren Aufwand habe jeder Surfer nicht nur Kunden- und Unternehmensdaten einsehen, sondern auch Ändern können.
Dirk Heringhaus vom CCC hat sich seit Sommer 2003 mit der Sicherheit dieser Vertragsverwaltung beschäftigt und ist auf haarsträubende Sicherheitslücken gestoßen, die er in einem Bericht der Datenschleuder zusammengefasst hat. Zum einen wurden die einzelnen Datensätze nur mit der Vertragsnummer in der Browser-URL referenziert. Somit konnte Heringhaus – einmal authentifiziert – auf alle Kundendaten im OBSOC-System zugreifen und sie Ändern. Zum anderen stellte Heringhaus bei einer genaueren Untersuchung fest, dass viele der T-Com-Mitarbeiter mit Zugriff auf das OBSOC-System völlig unsichere Passwörter verwendeten (Nutzername = Passwort). Dadurch war er in der Lage, Vollzugriff auf T-Com-interne Systeme innerhalb von OBSOC zu erhalten. So hätte er alle Zugangsdaten von T-Com-Kunden einsehen und ändern können.
Hintergrundmaterial und begleitende Berichterstattung sind unter www.ccc.de/t-hack/ nachzulesen.
Wie der SPIEGEL berichtet wurden die entsprechenden Dienste der T-Com vorübergehen abgeschaltet.

0 Kommentare zu “T-Offline

Schreibe einen Kommentar