{"id":297217,"date":"2024-07-12T10:21:15","date_gmt":"2024-07-12T08:21:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297217"},"modified":"2024-07-12T21:54:04","modified_gmt":"2024-07-12T19:54:04","slug":"identifymobile-datenleck-ccc-stt-auf-200-millionen-2fa-sms","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/12\/identifymobile-datenleck-ccc-stt-auf-200-millionen-2fa-sms\/","title":{"rendered":"IdentifyMobile-Datenleck: CCC stößt auf 200 Millionen 2FA-SMS"},"content":{"rendered":"

\"SicherheitDer Chaos Computer Club ist auf ein offenes Informationssystem des Anbieters IdentifyMobile gesto\u00dfen. In diesem Informationssystem waren die Daten (Einmalpassw\u00f6rter) von mehr als 200 Firmen (Google, Amazon, Facebook, Microsoft auch Telegram, Airbnb, FedEx, DHL etc.), die eine Zweifaktor-Authentifizierung mittels SMS anbieten, offen abrufbar. Um die 200 Millionen Einmalpassw\u00f6rter f\u00fcr 2FA-SMS waren dort in Klartext einsehbar. Das war nicht nur ein peinliches Datenleck, sondern zeigt auch, wie wackelig die 2FA-SMS Infrastruktur ist.<\/p>\n

<\/p>\n

Wer ist IdentifyMobile?<\/h2>\n

\"\"IdentifyMobile ist ein Unternehmen in Essex, Gro\u00dfbritannien, welches f\u00fcr Unternehmen in aller Welt eine Authentifizierung per Mobilfunkger\u00e4t anbietet. Auf der Unternehmenswebseite hei\u00dft es, dass man \"die n\u00e4chste Generation von Produkten zur Validierung und Verifizierung der Identit\u00e4t von Mobilfunkteilnehmern f\u00fcr App-Entwickler, E-Tailer<\/a>, Finanzinstitute und Online-Marktpl\u00e4tze\" anbietet.<\/p>\n

<\/p>\n

App-Entwickler und Anbieter von Mobilfunkdiensten greifen auf IdentifyMobile zur\u00fcck, um in Echtzeit Kunden zu identifizieren und Transaktionsrisiken zu erkennen – sprich: Die wickeln eine Zweifaktor-Authentifizierung per SMS (2FA-SMS) f\u00fcr die Kunden ab und werben mit\u00a0 Milliarden Transaktionen f\u00fcr ihre Kunden. Beim Besuch der mit WordPress aufgesetzten Firmenseite ist mir bei aufgefallen, dass diese nur \u00fcber eine ungesicherte http-Verbindung erreichbar ist (in 2024 ist bei Firmenseiten eine Absicherung mittels Zertifikaten und https Standard).<\/p>\n

Die SMS-2FA<\/h2>\n

Meldet sich ein Kunde bei einem Online-Konto, erfolgt bei der Zweifaktor-Authentifizierung (2FA) i.d.R. eine Anmeldung per Benutzername und Kennwort, die aber durch einen zweiten Faktor best\u00e4tigt werden muss. Dazu wird der Nutzer nach Angabe seiner Benutzerkennung \u00fcber einen zweiten Faktor (Authentifizierungs-App, One-Time-Password OTP, SMS) identifiziert.<\/p>\n

Bei IdentifyMobile kommt die SMS-2FA zum Einsatz: Sprich, der Kunde tr\u00e4gt seine Mobilfunknummer bei der Einrichtung des Online-Kontos ein. Meldet er sich beim Online-Konto mittels seines Benutzernamens an, erh\u00e4lt er per SMS einen Code auf das Mobilfunkger\u00e4t, Der SMS-Code muss dann auf der Anmeldeseite eingetippt werden. Bei korrektem Code wird dann der Zugang zum Online-Konto gew\u00e4hrt. Das Mobilfunkger\u00e4t bietet dann den zweiten Faktor zur Authentifizierung.<\/p>\n

Der IdentifyMobile-Datenvorfall<\/h2>\n

Bei der SMS-2FA kommt es darauf an, dass die Infrastruktur zur Generierung der Authentifizierungs-SMS sowie der \u00dcbertragungsweg der SMS sicher ist. Die SMS darf sich nicht durch Dritte abfangen lassen (was beispielsweise per SIM-Swapping m\u00f6glich ist). Sicherheitsexperten sagen daher, dass 2FA per SMS als unsicher anzusehen ist.<\/p>\n

<\/a><\/p>\n

Obiger Tweet<\/a> weist nun auf einen dicken Hund hin, auf den der Chaos Computer Club (CCC) gesto\u00dfen ist. Im Artikel Zweiter Faktor SMS: Noch schlechter als sein Ruf<\/a> vom 11. Juli 2024 beschreiben sie, wie die 2FA-SMS funktioniert und warum diese zur Verbesserung der Sicherheit (zumindest im Vergleich zur Anmeldung mit Benutzername und Kennwort) genutzt wird. Im Artikel gehen die CCC-Autoren aber auch auf die von mir bereits oben angerissenen Risiken zum Abfangen der Authentifizierungs-SMS ein. Der CCC r\u00e4t deshalb seit 2013 von der Verwendung einer SMS als zweiten Faktor ab.<\/p>\n

Trotzdem ist diese 2FA-SMS immer noch breit im Einsatz. Firmen wie Google, Amazon, Facebook, Microsoft auch Telegram, Airbnb, FedEx, DHL etc. nutzen dies und greifen auf externe Dienstleiste zur Authentifizierung zur\u00fcck. Das gesamte 2FA-SMS-Verfahren steht und f\u00e4llt im Hinblick auf die Sicherheit mit dem Dienstleister. Ist dieser unsicher, kann man die 2FA-SMS vergessen.<\/p>\n

Der CCC hat sich daher die Infrastruktur von IdentifyMobile genauer angesehen und stellte fest, dass man nur die Subdomain \"idmdatastore\" dieses Anbieter kennen musste, um auf die Eintr\u00e4ge von mehr als 200 Unternehmen ohne weitere Absicherung zugreifen konnte. Damit lagen die pers\u00f6nlichen Daten (SMS-Inhalte, Mobilfunknummer der Kunden, Absendernamen und teilweise andere Account-Informationen) einsehbar. Bez\u00fcglich der betroffenen Unternehmen z\u00e4hlen neben Google, Amazon, Facebook, Microsoft auch Telegram, Airbnb, FedEx und DHL, schreibt der CCC. Insgesamt waren mehr als 198 Millionen SMS einsehbar. Der CCC schreibt, dass durch einfaches Einsehen des Live-Feeds es beispielsweise m\u00f6glich gewesen w\u00e4re:<\/p>\n