Dienstag, 07. April 2009
E-Mail-Adressen auslesbar
Sicherheitsloch bei T-Online
Durch eine Sicherheitslücke soll es möglich sein, alle Haupt-E-Mailadressen von T-Online-Kunden auszuspäen. Laut Resisto IT sind vermutlich bereits bis zu 14 Millionen Datensätze in die Hände von Cyber-Kriminellen gelangt.
Test unter Aufsicht
Resisto ist es in Anwesenheit von Sicherheitsexperten des Rheinland-pfälzischen Datenschutzbeauftragten gelungen, Hauptadressen der T-Online-Kunden auszulesen. Laut Resisto-Chef Tobias Huch war dies für sein Team kein großes Problem, da es durch den alphanumerischen Aufbau bei T-Online ausreicht, die Mailnamen hochzuzählen. Rein rechnerisch reichten 100 Milliarden kurze Server-Anfragen, um die Datenbank zu plündern, sagt er. "Wenn wir uns anstrengen, haben wir innerhalb einer Woche alle Haupt-E-Mailadressen."
Die Haupt-E-Mail-Adresse ist keine Adresse, die der T-Online-Kunde nutzt, sondern ein Nummerncode, der etwa so aussehen könnte: 1231234567890001. Im Prinzip läuft das Ausspäen der Daten so ähnlich wie im Fall eines vergessenen Passworts. Sobald der Angriffsrechner eine richtige Nummer ausgeknobelt hat, bekommt er vom T-Online-Server eine Bestätigung.
Auch andere betroffen
"Wir haben auch bei Web.de und GMX ähnliche Sicherheitslücken entdeckt", sagt Huch. Diese seien aber wesentlich kleiner als bei T-Online. "Bei ihnen bräuchten wir aber mit Sicherheit ein paar Wochen länger, um einen großen Datenbestand zusammen zu haben", schätzt er. Um es bildlich darzustellen könnte man sagen, die Löcher bei Web.de und GMX sind so groß wie ein Stecknadelkopf, bei T-Online so groß wie ein See."
Resisto hat das Problem dem Datenschutzbeauftragten von Rheinland-Pfalz mitgeteilt. Zu Huchs Überraschung leugnet die Telekom die Existenz einer Sicherheitslücke. Es gebe keine Datenlücken und auch keinen Datendiebstahl, sagt ein Telekom-Sprecher. Bei dem Bericht von Resisto gehe um ein Austesten von E-Mails, um an Mail-Adressen zu kommen. Dabei würden massenhaft Mails mit erdachten Empfängern abgeschickt. Falls dabei keine Negativ-Rückmeldung vom Server erfolge, werde die Mail-Adresse als gültig festgehalten. Dies habe aber mit Datenlücken nichts zu tun, betont der Sprecher.
GMX und Web.de reagieren
Die Argumentation der Telekom sei unsinnig, widerspricht Huch, denn sein Team habe keine Standard-E-Mail-Adressen wie monika.mustermann@t-online.de ausprobiert, sondern habe die Haupt-E-Mail-Adressen abgefragt, was eben nicht so einfach gehen dürfe. "Web.de und GMX, die viel kleinere Lücken hatten, haben sofort reagiert", sagt er und wundert sich über die Telekom. Er sei schließlich kein Dummschwätzer. Damit hat er recht, denn Huch deckte bereits den Datenskandal bei T-Mobile im vergangenen Oktober auf. "Ich glaube, seitdem mögen die mich bei der Telekom nicht besonders", sagt er. "Vielleicht sollten wir den kompletten Datensatz rausziehen, um sie zum Handeln zu bewegen."
Aufwendig wäre das Schließen der Lücke für T-Online nicht. "Die nötigsten Maßnahmen hätte ein fähiger Systemadministrator in einem halben Tag erledigt", sagt Huch. Vielleicht arbeitet die Telekom ja schon an dem Problem und will es nur nicht an die große Glocke hängen. Die Spam-bedrohten Kunden wären sicher dankbar.
Hintergründe zur Nachricht
Importe
-
2010 in Deutschland wie gehabt
Brief-Porto steigt nicht
-
Die Schiffer und der Luxus
Kaschmirpullis von Cloodia?
-
Frankfurt - Abu Dhabi
Etihad baut Strecke aus
-
Die Stimmung steigt
Sentix-Index rückt vor
-
Keine Ehekrise
Fergie trotzt Gerüchten
-
Raimund Brichta
Nicht gewusst, aber geahnt
-
Frank Meyer
Lektionen gelernt
-
Überhitzung im Immobilienmarkt
Fitch zweifelt an China-Banken
-
Riesiger Zahlensalat
Dax hat schwer zu kauen
-
Raimund Brichta
Am Berg wie an der Börse
-
Neue China-Börse
Chinext lockt Anleger
-
"Ich liebe dich!"
Swayzes Witwe über ihre Trauer
