Eine simple Anfrage einer Nutzerin an den T-Mobile-Kundendienst endete für den österreichischen Mobilfunkanbieter in einem Desaster: Eine Frau fragte via Twitter, ob T-Mobile Austria Kunden-Passwörter unverschlüsselt speichere. Das wäre höchst unverantwortlich, da so bei einem Datendiebstahl Hunderttausende Passwörter von Kriminellen sofort missbraucht werden könnten (da sie eben nicht entschlüsselt werden müssten). Die Frage markierte den Auftakt des Passwort-Skandals.
Eine Social-Media-Mitarbeiterin bei T-Mobile antwortete, dass die Kundendienst-Mitarbeiter nur die ersten vier Zeichen des Passwortes sehen können, man aber das ganze Passwort speichere, da es für das Login benötigt werde. Ob die Passwörter verschlüsselt oder unverschlüsselt gespeichert werden, blieb aus ihrer Antwort zunächst unklar.
Der Vorteil des Verschüsselns bzw. Hashens von Passwörtern erklärt das deutsche Techportal Golem so: «Wenn die Datenbank geklaut wird, etwa durch einen Hackerangriff, aber auch wenn ein Mitarbeiter die Daten entwendet, dann hat man keinen direkten Zugriff auf die Passwörter.»
Die Twitter-Nutzerin hakte nach und machte T-Mobile darauf aufmerksam, dass es keine gute Idee sei, Passwörter im Klartext in einer Datenbank zu speichern. Tags darauf antwortet eine andere Kundendienst-Mitarbeiterin ebenfalls via Twitter: «Hi, ich verstehe wirklich nicht, warum das ein Problem sein sollte?» Die Kundendienst-Angestellte lässt sich gar zur Aussage hinreissen, die Sicherheit von T-Mobile Austria wäre «amazingly good», also unglaublich gut. Kunden bräuchten sich daher keine Sorgen zu machen.
Dieser unbedarfte Äusserung war natürlich eine Steilvorlage für alle IT-Sicherheitsexperten und Hacker, welche der Sicherheit bei T-Mobile nun auf den Zahn fühlten.
Als der bekannte IT-Sicherheitsforscher Troy Hunt, der hinter der Passwort-Datenbank «HaveIBeenPwnd» steckt, den Tweet von T-Mobile teilte, brach unter dem Hashtag #amazingsecurity eine Flut an User-Kommentaren los. Dabei macht der T-Mobile-Kundendienst einmal mehr eine miserable Falle:
Bad news for you Käthe, nobody’s security is that good. No, not even yours. It’s not that I say you are 100% getting hacked - what if an employee accesses the database directly?
— Eric™ (@Korni22) 6. April 2018
Well, I do since I worked for @deutschetelekom, but thanks for asking. 3 years of something that’s called „Ausbildung“ a bit more as contractor.
— Eric™ (@Korni22) 6. April 2018
@Korni22 Oh, I do get it. I hope you enjoyed my response. ^Käthe
— T-Mobile Austria (@tmobileat) 6. April 2018
Every bored hacker over the weekend be like pic.twitter.com/VnC5FXQTfh
— Hannes Molsen (@_cqrity) 7. April 2018
Weltweit machten sich IT-Experten in den letzten Tagen einen Spass daraus, Sicherheitslücken beim österreichischen Mobilfunkanbieter aufzuspüren – und davon gibt es offenbar gleich mehrere.
Die unbedachten bis unverschämten Antworten der Social-Media-Mitarbeiterin machten T-Mobile innert Stunden zur Lachnummer im Netz – und zum Angriffsziel von Hackern
fortunately, the systems are updated .. 🧐 pic.twitter.com/xIdBH5p1zp
— alexander (@alessandrinoino) 6. April 2018
Das deutsche Techportal Golem spürte in kurzer Zeit eine gravierende Sicherheitslücke bei der österreichischen Tochterfirma der Deutschen Telekom auf. Bei mehreren Blogs von T-Mobile Österreich konnte Golem das so genannte Git-Repository herunterladen. Durch diese Sicherheitslücke wäre es leicht möglich gewesen, die entsprechenden Webseiten zu übernehmen.
Kriminelle Hacker könnten so beispielsweise über die T-Mobile-Website Schadsoftware ausliefern oder mittels eines Kryptominers (Programm, das Kryptocoins schürft) die Prozessorleistung der Webseitenbesucher missbrauchen.
Mehrere weitere Schwachstellen in der T-Mobile-Website lassen es zu, dass Hacker beliebige Fehlermeldungen ausgeben können, zum Beispiel: «Viele Grüsse an die IT-Abteilung» oder «What if this doesn't happen because our security is amazingly good?».
I don't think it is. pic.twitter.com/iXyAy5X40g
— Eddie Hart (@AssortedRants) 7. April 2018
Mit solchen Fehlermeldungen auf der Website des Mobilfunkanbieters machen sich Hacker über T-Mobile lustig
Auf die blauäugige Social-Media-Mitarbeiterin (wir erinnern uns: «Amazingly Good Security») hagelte es Spott und Häme. IT-Experten aus aller Welt machten sich über T-Mobile und die Kundendienst-Mitarbeiterin lustig.
— Agustín Covarrubias (@agucova) 6. April 2018
By definition, plaintext password storage is not "amazingly good" security. I've made a Venn diagram. pic.twitter.com/SV9pHyJtWu
— William #FBPE #ABTV (@WilliamJStracha) 6. April 2018
In Anspielung auf den Sicherheitsbegriff Security through obscurity (die Sicherheit eines Systems gewährleisten, indem seine Funktionsweise geheim gehalten wird), bezeichneten Twitter-Nutzer die Sicherheitsvorkehrungen bei T-Mobile spöttisch als «Sicherheit durch Zuversicht», «Sicherheit durch Selbstvertrauen» oder «Sicherheit durch Glauben».
Security via self-confidence
— Alexander Batishchev (@abatishchev) 7. April 2018
Security by faith, followed by thoughts and prayers for the leaked passwords
— Michael Tecourt (@michaeltecourt) 7. April 2018
Der Shitstorm ging zuletzt soweit, dass Twitter-Nutzer die Entlassung der T-Mobile-Mitarbeiterin forderten.
yes, she should be fired. She's a #SoMe PR representative. Her behavior was not befitting of this position.
— 0; (@SudoSapien) 7. April 2018
If I had some sense, and working at The Mobile, I'd never let Käthe handle the Twitter accounts again! Period
— Arjun Nair (@pulsarjune) 6. April 2018
Doch: Verantwortlich dafür, dass die Passwörter unverschlüsselt gespeichert werden, ist die Firma T-Mobile Österreich bzw. ihr IT-Chef und nicht die vorlaute Kundendienst-Mitarbeiterin.
Surely Käthe is not at fault, she might not have picked the right words at the right times - so did I. T-Mobile AT should just admit their fault, fix it and openly talk about it.
— Eric™ (@Korni22) 6. April 2018
Nun eilt sogar die Frau, welche den Stein mit ihrer Passwort-Frage ins Rollen gebracht hat, der gescholten Kundendienst-Mitarbeiterin zu Hilfe.
Käthe absolutely didn’t deserve that kind of shitstorm. I’m glad to live in Europe though. A single mistake, no matter how grave, must never cost anyone their job if committed in good faith. https://t.co/c0HJKwfSo0
— Claudia Pellegrino (@c_pellegrino) 8. April 2018
Zwei Tage nach der ursprünglichen Anfrage, die zum Shitstorm geführt hat, versuchte T-Mobile-Austria via Twitter zu beruhigen. Der Mediensprecher schrieb, die Kunden-Passwörter seien sicher in einer passwortgeschützten Datenbank gespeichert. Ob die Passwörter selbst verschlüsselt sind, sagte er weiterhin nicht.
Customer service agents see only parts of customers‘ passwords which are safely stored in encrypted databases via industry standard encryption algorithm. We are also using one-time-PINs for customer authentication and are evaluating voice biometrics. ^Helmut @ojour
— T-Mobile Austria (@tmobileat) 6. April 2018
Verschlüsselte Datenbank aber darin Passwörter unverschlüsselt? Redet Mal Klartext. #amazingsecurity #tmobileat
— Flowkap (@flowkap) 7. April 2018
Am Wochenende ging der Shitstorm weiter. Nun haute der CEO selbst in die Tasten und verkündete auf Twitter:
Danke für intensive Diskussion am heutigen Tag! Sollte es etwas zu verbessern geben, so wird es verbessert. Dafür steht das Unternehmen und ich selbst. Security ist und bleibt eines meiner wichtigsten Anliegen. Wir werden neue Inputs mit Experten diskutieren. https://t.co/uYpNVG99WN
— Andreas Bierwirth (@_ABierwirth_) 7. April 2018
Nachdem das Unternehmen tagelang versuchte, den Shitstorm auszusitzen, gab T-Mobile Österreich heute erstmals klipp und klar Fehler zu. Dem Newsportal Futurezone sagte eine Mediensprecherin am Montag:
Wie angekündigt setzen wir weitere Schritte zur Sicherung von Passwörtern. Künftig werden Passwörter salted und hashed, Service-Mitarbeiter können Passwörter nicht einsehen. Diese Maßnahmen werden so rasch wie möglich umgesetzt.
— T-Mobile Austria (@tmobileat) 9. April 2018
Die unbedarfte Kundendienst-Mitarbeiterin darf ihren Job behalten. Ob der IT-Sicherheitschef ebenfalls mit einem blauen Auge davonkommen wird, werden wir sehen ...
Käthe verliert ihren Job nicht. Die Antwort war in der Hitze eines Twitter-Threads offensichtlich nicht klug. Die Mischung aus Häme, Hetze und „Feuert Sie“, die dafür aus manchen Tweets kamen, sind hingegen erschreckend.
— Helmut Spudich (@ojour) 7. April 2018
Wer nun denkt, die Sicherheitspraxis bei T-Mobile Österreich sei lausig, sollte mal bei UPC Österreich nachfragen:
T-Mobile Austria speichert Passwörter also im Klartext?UPC Business Austria so „Hold my Beer! Wir speichern sie nicht nur im Klartext, wir verschicken sie auch noch unverschlüsselt per E-Mail!“ #amazingsecurity @c3wien @futurezoneat @andreasdotorg pic.twitter.com/MqTT3ScnQY
— Stefan Daschek (@noniq) 7. April 2018
