Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 10/2017
  4. Bug auf T-Mobile-Website ermöglichte den Abruf vertraulicher…

Bug auf T-Mobile-Website ermöglichte den Abruf vertraulicher Kundendaten

12.10.2017 18:50 Uhr Olivia von Westernhagen
vorlesen
T-Mobile US

(Bild: dpa, Justin Lane/Archiv)

In der Website t-mobile.com klaffte ein Sicherheitsleck, das die Abfrage von Kundendatensätzen durch potenzielle Angreifer erlaubte. Kunden aus Deutschland waren angeblich nicht betroffen.

Eine Sicherheitslücke soll Hackern bis vergangenen Freitag die Abfrage persönlicher Daten von T-Mobile-Kunden ermöglicht haben. Laut Sicherheitsforscher Karan Saini, der die Schwachstelle auf t-mobile.com entdeckte und meldete, hätten Angreifer lediglich die Telefonnummern der potenziellen Opfer benötigt, um per Skript Namen, E-Mail-Adressen, Kontodaten sowie die International Mobile Subscriber Identity (IMSI) einzusammeln. Wie aus einem Statement von T-Mobile gegenüber der IT-News-Website Motherboard hervorgeht, wurde die Lücke innerhalb von 24 Stunden nach Bekanntwerden geschlossen.

Laut Saini steckte der Fehler in der Programmierschnittstelle wsg.t-mobile.com, die nach Übergabe einer Telefonnummer ganze Datensätze von Personen zurückschickte. Wieviele Kundendaten tatsächlich gefährdet waren, ist derzeit unklar. Während der Sicherheitsforscher darauf hinwies, dass T-Mobile etwa 70 Millionen Kunden habe, beteuerte T-Mobile gegenüber Motherboard, dass nur eine kleine Anzahl von Datensätzen abrufbar gewesen sei. heise Security fragte bei der Deutschen Telekom nach – die erklärte, dass Daten von Kunden aus Deutschland nicht von dem Hack betroffen waren.

Anzeige

Video-Tutorial zeigt Website-Exploit

Nach Aussage von T-Mobile gibt es keine Hinweise darauf, dass tatsächlich Zugriffe auf Kundendaten stattgefunden hätten. Motherboard will allerdings mit einem Hacker gesprochen haben, der das Gegenteil behauptet: Demnach sei die Lücke auf der T-Mobile-Website schon seit mehreren Wochen bekannt gewesen. Für diese Behauptung spricht auch ein auf YouTube aufgetauchtes Video-Tutorial von Anfang August, das den Exploit der T-Mobile-Website demonstrieren soll. (ovw)

Kommentare lesen (27 Beiträge)

Forum zum Thema: Serversicherheit

https://heise.de/-3860676 Drucken
Mehr zum Thema:
Deutsche Telekom Sicherheitslücken T-Mobile
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Konsequenzen?
    Und wozu ist dann diese DSGVO da? Ein Haufen Formalismen die jeder trainierte Affe runterbeten kann, aber nichts von Substanz.

    Forum:  RSA Conference: Unsichere Konferenz-App leakt Teilnehmerliste

    Avatar von O'Neil
    von O'Neil; vor 43 Minuten
  2. Re: Wenigstens leicht zu Identifizieren
    Für die schlecht umgesetzten Miner mag das gelten. Es gibt allerdings genügend Methoden sich zu verstecken.

    Forum:  Statt Erpressungstrojaner: Krypto-Miner auf dem Vormarsch

    FHSnoop hat keinen Avatar
    von FHSnoop; vor 20 Stunden
  3. Re: Google ist ja so toll!
    Googles 8.8.8.8 ist trotzdem noch standardmäßig eingestellt und da wahrscheinlich nur jeder millionste Benutzer jemals die DNS Einstellungen…

    Forum:  Android P verschlüsselt DNS-Anfragen

    Sylos hat keinen Avatar
    von Sylos; Samstag, 23:29
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2297425
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien