Thema: Kunden-E-Mail-Adressen bei deutschen Providern leicht erratbar

[SiLæncer]

Der Mainzer Unternehmer Tobias Huch, der in der Erotik- und Musikbranche tätig ist und vergangenen Herbst mit dem Hinweis auf einen Datenskandal bei T-Mobile Aufmerksamkeit erregte, hat auf eine Angriffsfläche bei mehreren deutschen Internetprovidern hingewiesen. Nach seinen Angaben sollen sich viele gültige E-Mail-Adressen der Kunden teils im Handumdrehen erraten lassen. Spammer könnten auf diesem Weg im großen Stil an funktionierende Kennungen für die elektronische Post gelangen. Auch für gezielte Phishing-Attacken dürften die Adressen interessant sein, meint Huch. "Das Datenleck sollte umgehend geschlossen werden", zeigte sich auch ein Sprecher des Landesdatenschutzbeauftragten von Rheinland-Pfalz besorgt gegenüber heise online. Die für den Telekommunikationsbereich zuständigen Stellen seien informiert worden.

Als konkrete Angriffspunkte will Huchs Resisto IT GmbH Hilfeseiten der Zugangs- und E-Mail-Anbieter ausgemacht haben, über die sich ein Kunde beim Vergessen seines Passwortes melden kann. Die dahinter liegenden AJAX-Schnittstellen ermöglichen es Huch zufolge auch, sich bestehende E-Mail-Adressen in kürzester Zeit massenweise bestätigen zu lassen und letztlich weite Teile des Gesamtbestands zu verifizieren. "Derzeit sind bis zu fünf Abfragen pro Sekunde gestattet", erläutert Huch.

Innerhalb eines Tages könne man durch Probieren mit mehreren parallel arbeitenden Rechnern so die rund 14 Millionen Kennungen von T-Online-Kunden gewinnen. Mit einem einzelnen Rechner habe seine Firma rund 40.000 Adressen innerhalb von 24 Stunden erraten können. Daraufhin habe man den Datenschutzbeauftragten in Mainz informiert. Mit den Kennungen komme man "herrlich durch alle Spamfilter durch".

Die Telekom ist laut Huch von der Lücke besonders betroffen, weil sie für die Stammadressen alphanumerische Zahlenfolgen mit einem festen Block am Anfang, einer neunstelligen Ziffernfolge in der Mitte und einer gleich bleibenden Endnummer vor dem Domainnamen verwendet. Diesen würden in Folge vom System zusätzliche Kennungen mit Nutzernamen oder Pseudonymen zugeordnet.

Um den vollständigen möglichen Bereich durchzuforsten, ist man aber auch mit mehreren Systemen noch einige Wochen beschäftigt. Von einem echten Datenleck bei der T-Com kann bei dem beschriebenen Problem also nicht die Rede sein. Immerhin macht es die Telekom Spammern aber unnötig einfach.

Bei den zur United Internet AG gehörenden Anbietern GMX und Web.de verhalte sich die Sache ähnlich. Da die E-Mail-Adressen dort frei wählbar seien, müsse man einen größeren zeitlichen Aufwand zur Abfrage betreiben. Mit einer "Wörterbuch-Attacke" oder "Brute-Force-Angriffen" würden sich aber auch bei den dort eingesetzten Systemen vorhandene Kennungen herausfinden lassen. Zumindest für professionelle Spam-Versender und Datendiebe seien die Hürden sehr gering. Die betroffenen Provider könnten Spammern die Arbeit erschweren, indem sie etwa für das Auslesen verwendete IP-Adressen schneller sperren oder die Reaktionszeit der Server bei der Datenausgabe verlängern.

Entsprechende Angriffe mit Wortgeneratoren sind laut einem Telekom-Sprecher zufolge in der Szene längst bekannt. Es gebe aber keinen Bedarf zu handeln, da der Spamschutz im eigenen Hause funktioniere. Bei den 250 Millionen bei T-Online täglich eingehenden Mails handle es sich zu 90 Prozent um unerwünschte Werbung, die bereits vor dem Erreichen der Postfächer der Kunden ausgesondert werde. Zudem seien die Adresskombinationen der Telekom nicht einfacher abzufragen als die anderer Anbieter. Man gehe daher davon aus, "dass sich hier jemand ins Gespräch bringen will".

Ein Sprecher von Web.de hielt das geschilderte Szenario zwar "grundsätzlich für möglich". Ein derartiges Vorgehen habe man aber bislang nicht beobachten können. Es sei davon auszugehen, dass Spam-Versender zum Einsammeln von Adressen auf aus ihrer Sicht wesentlich effektivere Methoden wie den Einsatz von Trojanern zurückgreifen würden. Es werde dennoch geprüft, "ob wir weitere Maßnahmen wie beispielsweise eine Frequenz-Messung implementieren, um derartige Brute-Force-Angriffe zu unterbinden"

Quelle : www.heise.de

[Jürgen]

Solche Angriffe auf E-Mail-Identitäten lassen sich praktisch unmöglich machen, wenn man eine Passwort-vergessen-Funktion grundsätzlich beschränkt, beispielsweise auf entweder eine obligatorisch eigetragene Ausweich-E-Mal-Adresse dafür oder (ggf. kostenpflichtigen) Brief-Kontakt zu einer vorab registrierten Postadresse.

Und überhaupt nicht einzusehen ist, dass gleich etliche solcher Anfragen zeitnah über ein und dieselbe IP angenommen werden. Eine Viertelstunde Wartezeit vor einem zweiten Versuch halte ich jedenfalls für angemessen und praktikabel.

Was sich im Einzelfall so nicht abwickeln lässt, rechtfertigt m.e. allemal eine verpflichtende Kontaktaufnahme mit einem Hotline-Service.

[SiLæncer]

Die Telekom hat einen Bericht über ein angeblich neues Datenleck bei E-Mails von T-Online-Kunden zurückgewiesen. Es gebe keine Datenlücken und auch keinen Datendiebstahl, sagte ein Telekom-Sprecher am Montag in Bonn.

Austesten von E-Mail-Adressen

Bei dem Bericht gehe um ein Austesten von E-Mails, um an Mail-Adressen zu kommen. Dabei würden massenhaft Mails mit erdachten Empfängern abgeschickt. Falls dabei keine Negativ-Rückmeldung vom Server erfolge, werde die Mail-Adresse als gültig festgehalten.

Dies habe aber mit Datenlücken nichts zu tun, betonte der Sprecher. Der Telekom sei diese Problematik bekannt. Es werde versucht, die Millionen T-Online-Kunden vor unerwünschten E-Mails (Spams) zu schützen. Dazu gebe es einen restriktiven Spam-Schutz mit Filtern.

Der Geschäftsführer einer Firma aus Rheinland-Pfalz hatte von einem angeblichen "neuen Telekom-Datenskandal" berichtet. Bei T-Online reichten "rein rechnerisch 100 Milliarden kurze Server-Anfragen, um alle Mail-Adressen zu "stehlen". Spam-Versender und "Datendiebe" könnten solche Lücken ausnutzen.

In einem anderen Fall bei der Telekom war im vergangenen Jahr bekanntgeworden, dass der Mobilfunksparte T-Mobile im Jahr 2006 rund 17 Millionen Telefonnummern und Kundendaten entwendet worden waren.

Quelle : www.onlinekosten.de

[SiLæncer]

Bei der Deutschen Telekom sind nach Informationen des "Spiegel" am Dienstagabend erneut Daten von Hunderttausenden Kunden entwendet worden.

Unter anderem seien die Daten, die häufig auch die Bankverbindungen der Telekom-Kunden enthielten, von deutschsprachigen Mitarbeitern türkischer Callcenter dazu benutzt worden, den Kunden angeblich im Auftrag der Telekom neue Verträge zu verkaufen, berichtete das Hamburger Nachrichtenmagazin in seiner Online-Ausgabe.

Bei der Telekom gehe man von kriminogenen Strukturen aus und habe bereits im Februar Strafanzeige erstattet, hieß es. Die Bonner Staatsanwaltschaft führt unter dem Aktenzeichen 430JS67/09 gegen mehrere Beschuldigte wegen "Betrugs als Mitglied einer Bande" ein Ermittlungsverfahren. Die türkischen Callcenter sollen laut "Spiegel" Teil eines organisierten Systems sein, das seinen Ursprung in Deutschland hat.

Immer wieder hatten sich in den vergangenen Jahren dubiose Adresshändler Zugriff auf Kundendaten der Telekom verschafft. Im wohl spektakulärsten Fall aus dem Jahr 2006, der vor einem Jahr bekanntgeworden war, wurden dem Konzern 17 Millionen Telefonnummern und Kundendaten der Mobilfunksparte T-Mobile entwendet. Die Telekom kündigte daraufhin eine Reihe von Maßnahmen für mehr Datenschutz und Kontrollen an. Anfang Oktober hatte der Konzern eingeräumt, dass Vertriebspartner illegal Daten an Subunternehmen weitergereicht hatten.

Quelle : http://satundkabel.magnus.de

[SiLæncer]

Die Deutsche Telekom hat als Reaktion auf aktuelle Medienberichte über Datenschwachstellen betont, dass diese behoben seien. Spiegel online berichtete erneut, Vertriebspartner und Betreiber großer Callcenter hätten große Datenmengen aus den Beständen der Deutschen Telekom entwendet und geändert. Es seien Aufträge manipuliert und illegale Provisionen in Millionenhöhe beansprucht worden. So seien Datensätze von Hunderttausenden Kunden ins Ausland gelangt, besonders oft in die Türkei. Diese enthielten häufig auch Bankdaten der Telekom-Kunden. Die Telekom habe im Februar Strafanzeige erstattet.

Der Bonner Konzern teilt nun mit, er habe dazu bereits am 5. Oktober bekannt gegeben, dass er gegen unseriöse Methoden durchgreift. "Wir haben 2008 neue Sicherheitsstandards angekündigt. Die jetzigen Aufräumarbeiten sind direkte Konsequenzen daraus", betont Manfred Balz, im Telekom-Vorstand für Datenschutz zuständig. Vorige Woche hatte der Konzern aber noch keinen Einblick in das Ausmaß der Datenentwendungen gegeben. Spiegel online berichtet nun, die Telekom gehe von "kriminogenen Strukturen" aus.

Hintergrund der aktuellen Berichte ist nach Angaben der Telekom, dass der Konzern mit Hilfe von Daten aus dem Jahr 2008 um Provisionen in Millionenhöhe betrogen worden sei. Subpartner hätten ohne Autorisierung Callcenter, die teilweise außerhalb der EU angesiedelt seien, damit beauftragt, Kunden zu akquirieren. Dabei sei vorgetäuscht worden, die Aufträge seien durch den stationären Handel generiert worden, wofür höhere Provisionen gezahlt werden als für die telefonische Akquise.

Dabei stehe noch nicht fest, ob und in welchem Umfang dafür Telekom-Daten verwendet wurden. Die dem Konzern bekannten Vorfälle bezögen sich auf Daten, die vor 2009 zusammengestellt wurden. Dabei könnten die Datensätze auch durch Telefonaktionen Dritter angereichert worden sein oder vollständig aus anderen Quellen stammen. Balz beteuert: "Wir haben jedenfalls 2008 Systeme mit Schwachstellen abgeschaltet und für die verbliebenen Systeme die Sicherheitsvorkehrungen erhöht." Die Sicherheit der beiden Vertriebspartnersysteme sei vom TÜV Rheinland zertifiziert worden.

Wegen dieser Maßnahmen hätten sich offenbar einige unseriöse Unternehmen jetzt an die Presse wenden, kommentiert Balz. Staatliche Ermittlungsbehörden hätten nach der Anzeige der Deutschen Telekom bereits Daten sichergestellt und Verdächtige vorläufig festgenommen.

Quelle : www.heise.de