{"id":204753,"date":"2018-05-27T02:23:19","date_gmt":"2018-05-27T00:23:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=204753"},"modified":"2018-05-27T02:23:19","modified_gmt":"2018-05-27T00:23:19","slug":"usa-t-mobile-bug-ermglicht-zugriff-auf-benutzerdaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/05\/27\/usa-t-mobile-bug-ermglicht-zugriff-auf-benutzerdaten\/","title":{"rendered":"USA: T-Mobile-Bug ermöglicht Zugriff auf Benutzerdaten"},"content":{"rendered":"

T-Mobile USA ist eine Sicherheitspanne unterlaufen. Ein Fehler auf der Website von T-Mobile USA erlaubt es jedem, auf die pers\u00f6nlichen Kontodaten eines jeden Kunden mit dessen Handynummer zuzugreifen. <\/p>\n

<\/p>\n

ZDNet hat die Geschichte hier<\/a> publiziert. Es gab von T-Mobile eine wenig bekannte Sub-Domain, die die Mitarbeiter als Customer Care Portal nutzen, um auf die internen Tools des Unternehmens zuzugreifen.<\/p>\n

Die Subdomain promotool.t-mobile[.]com<\/em>, die \u00fcber Suchmaschinen leicht gefunden werden kann, enthielt eine versteckte API. Diese gibt die T-Mobile Kundendaten einfach durch Hinzuf\u00fcgen der Handynummer des Kunden an das Ende der Webadresse zur\u00fcck.<\/p>\n

\"Smartphone\"
(Quelle: Pexels Lisa Fotios<\/a>, CC0 Lizense)<\/p>\n

Obwohl die API von den Mitarbeitern von T-Mobile zum Nachschlagen von Kontodaten verwendet wird, war sie nicht mit einem Passwort gesch\u00fctzt und konnte von jedermann leicht verwendet werden.<\/p>\n

Zu den zur\u00fcckgegebenen Daten geh\u00f6rten der vollst\u00e4ndige Name des Kunden, die Postanschrift, die Rechnungskontonummer und in einigen F\u00e4llen Informationen \u00fcber die Steueridentifikationsnummer. Zu den Daten geh\u00f6rten auch die Kontoinformationen der Kunden, z.B. ob eine Rechnung \u00fcberf\u00e4llig ist oder ob der Kunde seinen Dienst eingestellt hat.<\/p>\n

Die Daten enthielten auch Hinweise auf Konto-PINs, die von Kunden als Sicherheitsfrage bei der Kontaktaufnahme mit dem Telefon-Support verwendet wurden. Jeder k\u00f6nnte diese Informationen benutzen, um Konten zu entf\u00fchren.<\/p>\n

T-Mobile deaktivierte die API einen Tag nachdem die Schwachstelle Anfang April vom Sicherheitsforscher Ryan Stevenson gemeldet wurde. Stevenson wurde sp\u00e4ter mit $1.000 als Pr\u00e4mie belohnt.<\/p>\n","protected":false},"excerpt":{"rendered":"

T-Mobile USA ist eine Sicherheitspanne unterlaufen. Ein Fehler auf der Website von T-Mobile USA erlaubt es jedem, auf die pers\u00f6nlichen Kontodaten eines jeden Kunden mit dessen Handynummer zuzugreifen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-204753","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204753","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204753"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204753\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204753"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204753"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204753"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}