Telekom hack, ganz einfach eure Rechnung fälschen...

Chibbi

Meister
Registriert
11. September 2002
Beiträge
149
Da der Vorfall, der gestern vom CCC veröffentlicht wurde, die Medien anscheinend wenig interessiert werde ich mal mein bestes tun diese Meldung ans Volk zu verteilen.
__________________________________________________________

Schwerwiegende Sicherheitsmängel bei T-Com

Der Chaos Computer Club (CCC e.V.) entdeckte schwerwiegende Sicherheitsmängel in der T-Com-Datenbank OBSOC (Online Business Solution Operation Center). Ohne größeren Aufwand habe jeder Surfer nicht nur Kunden- und Unternehmensdaten einsehen, sondern sogar ändern können.

Das OBSOC ist im Grunde eine Vertragsverwaltung für die Telekom-Festnetztochter T-Com; hier finden sich alle relevanten Informationen zu Kundenverträgen. Diese Datenbank ist einerseits für Kunden gedacht, die darüber bestimmte Änderungen an ihrem Vertrag vornehmen können, wie beispielsweise neue Optionen zum Vertrag zuzukaufen. Andererseits ist die Vertragsverwaltung auch für T-Com-Mitarbeiter, die -- je nach Berechtigung -- vollen Schreibzugriff auf alle Vertragsdaten haben.

Dirk Heringhaus vom CCC hat sich seit Sommer 2003 mit der Sicherheit dieser Vertragsverwaltung beschäftigt und ist auf haarsträubende Sicherheitslücken gestoßen, die er in einem Bericht der Datenschleuder nun veröffentlicht hat. Zum einen wurden die einzelnen Datensätze nur mit der Vertragsnummer in der Browser-URL referenziert. Somit konnte Heringhaus -- einmal authentifiziert -- auf alle Kundendaten im OBSOC-System zugreifen und sie ändern.

Damit aber nicht genug: Bei einer genaueren Untersuchung stellte Heringhaus fest, dass viele der T-Com-Mitarbeiter mit Zugriff auf das OBSOC-System völlig unsichere Passwörter verwendeten (Nutzername = Passwort). Dadurch war er ohne weitere Probleme in der Lage, Vollzugriff auf T-Com-interne Systeme innerhalb von OBSOC zu erhalten. Somit konnte er letztlich alle Zugangsdaten von T-Com-Kunden einsehen und ändern. Über bestimmte Verwaltungsskripte war es darüberhinaus möglich, mit Pfadangaben wie "../../" Zugriff auf die kompletten Laufwerke der Windows-Server zu erhalten (Directory-Traversal).

Heringhaus und der CCC machen sich vor allem Sorgen wegen des Datenschutzes. So sei nach Angaben des CCC davon auszugehen, dass sich "Angreifer mit genügend krimineller Energie" in den Datenbeständen herumgetrieben haben: "Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", sagt Dirk Engling von der Datenschleuder. "Ein Angreifer wäre somit im Besitz sämtlicher Zugangspasswörter aller Kunden dieser auf OBSOC basierenden Dienstleistung."

Während Hernigshaus Recherche in den vergangenen Monaten habe T-Com zwar diverse der kleineren Sicherheitsmängel beseitigt, aber gewährleiste immer noch keine grundsätzliche Sicherheit. Zudem bemängelt Heringhaus, dass T-Com keinerlei Bemühungen unternommen habe, das Sicherheitsproblem zu veröffentlichen und so seine Kunden zu warnen. Heringhaus stellt die vollständige Kommunikation mit T-Com auf einer eigens dafür eingerichteten Seite der Öffentlichkeit zur Verfügung. Eine Stellungnahme der Telekom war bislang nicht zu erhalten. (pab/c't)

Quelle heise.de
__________________________________________________________

Auf www.ccc.de/t-hack/ könnt Ihr alles darüber erfahren wie es gemacht wurde und wie sehr sich die Telekom mühe gegeben hat diese Fehler zu beseitigen.

Schon 12 Monate wissen Sie von diesen Lecks und wurden immer wieder vom CCC darauf hingewiesen. Die Antworten der Telekom sahen dann in etwa so aus:

Sinngemäß Telekom - nein wir haben aktuell keine Sicherheitsprobleme,
wenn sie aber veröffentlichen, wie man sie ausnutzen kann werden wir
sie verklagen.

Quelle: http://www.ccc.de/t-hack/stn/inhlt/schrftvrkhr/2004.06.02 Brief Telekom an Heringhaus.pdf
 

HamsterofDeath

Meister
Registriert
18. März 2003
Beiträge
374
kann mal jemand in ein anonymes internetcafe gehen und denen mal zum spaß einfach die ganze datenbank löschen ^^ ?
 

Tortenhuber

Ehrenmitglied
Registriert
10. April 2002
Beiträge
3.012
datenbank löschen ROFL

ich wär fürne crontab die beliebig einträge löscht verschiebt und abändert. oder einfach gleich alle post zum telekomchef weiterleiten ^^ auch diese sinnlosen werbeprospekte ....
 

Chibbi

Meister
Registriert
11. September 2002
Beiträge
149
Flowing_tears schrieb:
Nene , bitte meine Geschwindigkeit auf 2000 kb/s erhöhen ^^
Das geht doch bestimtm auch ^^

das geht in der tat! allerdings sind mir 2000kb/s bisschen wenig, wennschon dennschon. :)
 

Trasher

Forenlegende
Registriert
10. April 2002
Beiträge
5.842
Chibbi schrieb:
Zum einen wurden die einzelnen Datensätze nur mit der Vertragsnummer in der Browser-URL referenziert. Somit konnte Heringhaus -- einmal authentifiziert -- auf alle Kundendaten im OBSOC-System zugreifen und sie ändern.
[...]
Über bestimmte Verwaltungsskripte war es darüberhinaus möglich, mit Pfadangaben wie "../../" Zugriff auf die kompletten Laufwerke der Windows-Server zu erhalten (Directory-Traversal).

Ohje, wer hat denn dieses System entworfen?? Das ist ja katastophal³, und das ganze läuft auch noch auf MS-Windows Servern. 8O :lol:
 

Tortenhuber

Ehrenmitglied
Registriert
10. April 2002
Beiträge
3.012
wenn scheisse, dann richtig scheisse :lol:

diese ganze sache zieht sich jetzt schon über ein jahr hin und mich würde es nicht wundern wenn T-COM nicht schon hinten und vorne beschissen worden wäre. und das zu lasten ehrlicher naiver kunden, wie mir zum beispiel. ok wenn ich mal einen eigenen haushalt haben werde kommt da kein telefonzeugs rein
 

FreeBird

Großmeister
Registriert
28. Januar 2004
Beiträge
638
Tja, dann hoff ich mal für mich, dass Arcor keine solchen Probleme hat... :?
 

Pfeifenkopf

Meister
Registriert
28. Januar 2004
Beiträge
295
Das ist ja wirklich der Hammer! Wenn ein Hobbybastler ein solches System entwirft könnte man solche Fehler ja noch verstehen - aber ein Profi-System eines Global-Players? Unglaublich. Der Datenschleuderartikel ist sehr hübsch ... *klick*

Nachdem die Telekomiker das Ganze ein Jahr verschleppt haben, sind sie jetzt wohl endlich lösungsbereit:
Stecker gezogen :D

Ohne Worte:
 

Ähnliche Beiträge

Oben