Der Chaos Computer Club ist auf ein offenes Informationssystem des Anbieters IdentifyMobile gestoßen. In diesem Informationssystem waren die Daten (Einmalpasswörter) von mehr als 200 Firmen (Google, Amazon, Facebook, Microsoft auch Telegram, Airbnb, FedEx, DHL etc.), die eine Zweifaktor-Authentifizierung mittels SMS anbieten, offen abrufbar. Um die 200 Millionen Einmalpasswörter für 2FA-SMS waren dort in Klartext einsehbar. Das war nicht nur ein peinliches Datenleck, sondern zeigt auch, wie wackelig die 2FA-SMS Infrastruktur ist.
Anzeige
Wer ist IdentifyMobile?
IdentifyMobile ist ein Unternehmen in Essex, Großbritannien, welches für Unternehmen in aller Welt eine Authentifizierung per Mobilfunkgerät anbietet. Auf der Unternehmenswebseite heißt es, dass man "die nächste Generation von Produkten zur Validierung und Verifizierung der Identität von Mobilfunkteilnehmern für App-Entwickler, E-Tailer, Finanzinstitute und Online-Marktplätze" anbietet.
App-Entwickler und Anbieter von Mobilfunkdiensten greifen auf IdentifyMobile zurück, um in Echtzeit Kunden zu identifizieren und Transaktionsrisiken zu erkennen – sprich: Die wickeln eine Zweifaktor-Authentifizierung per SMS (2FA-SMS) für die Kunden ab und werben mit Milliarden Transaktionen für ihre Kunden. Beim Besuch der mit WordPress aufgesetzten Firmenseite ist mir bei aufgefallen, dass diese nur über eine ungesicherte http-Verbindung erreichbar ist (in 2024 ist bei Firmenseiten eine Absicherung mittels Zertifikaten und https Standard).
Die SMS-2FA
Meldet sich ein Kunde bei einem Online-Konto, erfolgt bei der Zweifaktor-Authentifizierung (2FA) i.d.R. eine Anmeldung per Benutzername und Kennwort, die aber durch einen zweiten Faktor bestätigt werden muss. Dazu wird der Nutzer nach Angabe seiner Benutzerkennung über einen zweiten Faktor (Authentifizierungs-App, One-Time-Password OTP, SMS) identifiziert.
Anzeige
Bei IdentifyMobile kommt die SMS-2FA zum Einsatz: Sprich, der Kunde trägt seine Mobilfunknummer bei der Einrichtung des Online-Kontos ein. Meldet er sich beim Online-Konto mittels seines Benutzernamens an, erhält er per SMS einen Code auf das Mobilfunkgerät, Der SMS-Code muss dann auf der Anmeldeseite eingetippt werden. Bei korrektem Code wird dann der Zugang zum Online-Konto gewährt. Das Mobilfunkgerät bietet dann den zweiten Faktor zur Authentifizierung.
Der IdentifyMobile-Datenvorfall
Bei der SMS-2FA kommt es darauf an, dass die Infrastruktur zur Generierung der Authentifizierungs-SMS sowie der Übertragungsweg der SMS sicher ist. Die SMS darf sich nicht durch Dritte abfangen lassen (was beispielsweise per SIM-Swapping möglich ist). Sicherheitsexperten sagen daher, dass 2FA per SMS als unsicher anzusehen ist.
Obiger Tweet weist nun auf einen dicken Hund hin, auf den der Chaos Computer Club (CCC) gestoßen ist. Im Artikel Zweiter Faktor SMS: Noch schlechter als sein Ruf vom 11. Juli 2024 beschreiben sie, wie die 2FA-SMS funktioniert und warum diese zur Verbesserung der Sicherheit (zumindest im Vergleich zur Anmeldung mit Benutzername und Kennwort) genutzt wird. Im Artikel gehen die CCC-Autoren aber auch auf die von mir bereits oben angerissenen Risiken zum Abfangen der Authentifizierungs-SMS ein. Der CCC rät deshalb seit 2013 von der Verwendung einer SMS als zweiten Faktor ab.
Trotzdem ist diese 2FA-SMS immer noch breit im Einsatz. Firmen wie Google, Amazon, Facebook, Microsoft auch Telegram, Airbnb, FedEx, DHL etc. nutzen dies und greifen auf externe Dienstleiste zur Authentifizierung zurück. Das gesamte 2FA-SMS-Verfahren steht und fällt im Hinblick auf die Sicherheit mit dem Dienstleister. Ist dieser unsicher, kann man die 2FA-SMS vergessen.
Der CCC hat sich daher die Infrastruktur von IdentifyMobile genauer angesehen und stellte fest, dass man nur die Subdomain "idmdatastore" dieses Anbieter kennen musste, um auf die Einträge von mehr als 200 Unternehmen ohne weitere Absicherung zugreifen konnte. Damit lagen die persönlichen Daten (SMS-Inhalte, Mobilfunknummer der Kunden, Absendernamen und teilweise andere Account-Informationen) einsehbar. Bezüglich der betroffenen Unternehmen zählen neben Google, Amazon, Facebook, Microsoft auch Telegram, Airbnb, FedEx und DHL, schreibt der CCC. Insgesamt waren mehr als 198 Millionen SMS einsehbar. Der CCC schreibt, dass durch einfaches Einsehen des Live-Feeds es beispielsweise möglich gewesen wäre:
- WhatsApp-Nummern zu übernehmen,
- mit Kenntnis des Passworts und ohne Zugriff auf das Handy Finanz-Transaktionen durchzuführen oder sich bei verschiedensten Diensten einzuloggen.
Allerdings schreibt der CCC, dass für einen Missbrauch der SMS-Codes in der Regel mindestens noch das Passwort benötigt wurde. Es waren aber auch sogenannte "1-Klick-Login"-Links in den Daten enthalten. Laut CCC waren bei großen betroffenen Unternehmen teilweise auch nur einzelne Services mittels IdentifyMobile geschützt.
Das ist so was wie der GAU für IdentifyMobile und dessen Kunden, denn es kommt Fahrlässigkeit zum Vorschein, wodurch die Nutzer einem großen Risiko ausgesetzt waren. Inzwischen wird der CCC durch viele gleichlautende Anfragen von Datenschutz-Abteilungen aus allen Teilen der Welt bombardiert. Die wollen wohl alle wissen, ob ihre Kunden betroffen sind und informiert werden müssen.
Fazit des Ganzen: Sicherer und unabhängig vom Mobilfunknetz sind Einmalpasswörter (One-time passwords, OTPs), die Nutzer in einer App generieren, oder der Einsatz von Hardware-Token generieren können. Ergänzung: Bei Zeit-Online ist dieser Artikel zum Thema erschienen.
Anzeige
Witzig ist auch das man manuell die mit https aufrufen kann und dabei auf ein Access Forbidden stößt.
Das ausgelieferte Zertifikat ist aber noch gruseliger, Self-Signed und ausgestellt auf die interne IP des Webserver: ip-172-31-26-84
Wie kann denn so ein Anbieter von Firmen wie Amazon, Microsoft und Co. genutzt werden? Das spricht ja auch viel über die Security dieser Globalplayer…
Kaputte Supply-Chains, von faulen und zunehmend unwissenden Softwareentwicklern angefordert, unwissenden Projektverantwortlichen genehmigt und komplett desinteressierten Geschäftsführern verantwortet. Hinzu kommen optional noch fachfremde Auditoren mit Ihren tollen Excel-Fragebögen und wohlwollenden Testaten, die mit der Technik kaum was zu tun haben. Oh das ist Supply Chain leider Out-Of-Scope…
What possibly could go wrong?
Aber der Angriff Steiner, sorry AI, wird's richten…
>>> Aber der Angriff Steiner, … , wird's richten <<<
Köstlich, den muss ich mir merken.
Naja die Frage ist was will man damit anfangen? Also die sind maximal einige Minuten nach Anfrage gültig und das auch nur bis sie benutzt werden… wenn man sich also irgendwo einloggt, die SMS bekommt nur wenige Sekunden.
Zwar nicht schön solch eine Schlamperei, aber wirklich ein Risiko? Da muss ja schon jemand MIT hocken und warten das ich mich einlogge und ne 2FA SMS bekomme um diese dann sofort auszunutzen… Wie wahrscheinlich ist das?
Oder verstehe ich das Szenario gerade falsch?
Deine Mobilnummer kann Gold wert sein.
naja die steht im Telefonbuch ;-P In D ist SIM swapping so ohne weiteres auch nicht möglich…
Falsch. War Vodafone in der Liste?
Man braucht nur Zugang zum VF Kundenportal (Zugang via Telefonnummer + SMS) und kann mann (fast) jede (e)Sim gegen eine (neue) eSim tauschen.
Das war noch nie so einfach.
Du verstehst es falsch.
Die hatten Zugriff auf dem Live-Stream!
Ich wundere mich, warum eigentlich Passkeys (FIDO2 ff.) boykottiert wird.
Zu erst dachte, das das an den fehlenden Backup-Möglichkeiten liegt, aber das wurde inzwischen behoben.
Der Grund wird vielmehr se9:
Weil, damit kann man keine leichte Kohle abgreifen durch Dienste
Sind das die verwendeten OTP oder ist das die nächste?
Ich bekomme meine.OTP auch nach der Transaktion angezeigt.
weiß aber nicht was ich damit soll
– technisches Unverständnis?
– Faulheit?
Es passiert noch zu wenig.
>>> Meldet sich ein Kunde bei einem Online-Konto, erfolgt bei der Zweifaktor-Authentifizierung (2FA) keine Anmeldung per Benutzername und Kennwort. Vielmehr wird der Nutzer nach Angabe seiner Benutzerkennung über einen zweiten Faktor … SMS) identifiziert. <<<
Hallo Herr Born, liegt 's an mir?
Diese Ihre Aussage ist m. E. grundfalsch. Der grundlegende Ablauf ist doch: 1. Eingabe der Kombination von Benutzername/Passwort; 2. Eingabe des zweiten Faktors (PIN/TAN). S. ggf. https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung#Komponenten
Ich habe es präzisiert – kenne es auch ohne Kennwort.
+1
zumindest erinnere ich, dass manche Seiten die Wahl zwischen Passwort oder "send a one-time key" lassen.
Oder Seiten wie Terabox, da konnte (sie stellen es gerade auf nur-eMail um) man sich lange per TelNo (und Code per SMS) anmelden.
>>> ist mir bei aufgefallen, dass diese nur über eine ungesicherte http-Verbindung erreichbar ist <<<
Nein. https://www.identifymobile.com/ ist möglich, wirft aber:
"www.identifymobile.com uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT"
… und ebenso eine txt-page "Access Forbidden" – hat IdentifyMobile verzweifelt alles abgeschaltet?
@All @CCC – gibt es irgendwo eine Übersicht von den hunderten Kunden? Insbesondere für alles was Bezug zu Finanz hat wäre dies mE ein Supergau, ebenso für alle Informationspflicht. Hier würde ich bei Vorfällen bei einem "Sub-Dienstleister" im Sinne der Auftragsverarbeitung durchaus die Auftraggeber (Kunden v. Identify) in der Pflicht sehen.
Das laut Website in UK, Saffron Walden, Essex ansässige IdentifyMobile bekommt man bis zum 11.7.2024 noch bei wayback hier. Doppelt brisant – damit ist das je nach Standpunkt ebenso eine non-EU-Ausleitung.
JEDEN einzelnen Identify-Kunden sollte man mit einer vollumfänglichen Selbstauskunft und einer Beschwerde beim DSB versorgen (ich meine nicht ahnungslose End-User). Sonst hört das Elend nie auf.
Zeit spricht nur von: "Accounts bei Amazon, Airbnb, Temu, Google, Microsoft, Telegram, Tinder und vielen weiteren Diensten"
ebenso (hatte gelesen, parallel geschrieben) Twilio, Skrill, SumUp und tätää – wesentlicher Payment Provider: PayPal.
Wozu lernt und liebt man saubere IT – wenn es alle kaputt machen?
Danke für den Hinweis auf PayPal. Ich hatte nur nach deutschen Kreditinstituten/Banken gesucht.
Auf (1) heisst es u. a. "We have global reach covering over 5bn mobile subscribers, …". Gem. (2) ist das ("5bn") zu lesen als '5 Milliarden Kunden'!
(1) web.archive.org/web/20240711203300/http://www.identifymobile.com/about-us/#section-2
(2) de.wikipedia.org/wiki/Billion