(Bild: Twitter/@tmobileat)

Kundenpasswörter im Klartext, veraltete Software und Lücken in der Unternehmens-Webseite sorgten vergangene Woche für Aufregung bei Sicherheitsforschern und Kunden von T-Mobile Austria. Nun kündigte das Unternehmen zusätzliche Schutzmaßnahmen an.

Im Rahmen einer hitzig geführten Twitter-Diskussion zwischen Mitarbeitern und Kunden von T-Mobile Austria sowie weiteren Nutzern kamen vergangene Woche Sicherheitsmängel bei der Passwortspeicherung sowie Schwachstellen auf der Webseite des österreischischen Mobilfunkanbieters ans Licht. Unter anderem wurde bekannt, dass Kundenpasswörter bisher im Klartext in den Datenbanken gespeichert wurden und die ersten vier Stellen vom Kundenservice einsehbar waren.

T-Mobile Austria verwirrt mit seinen Statements, scheint aber um mehr Sicherheit bemüht. (Bild: Twitter/@tmobileat)

In der Konsequenz hat ein Sprecher des Unternehmens inzwischen via Twitter angekündigt, dass nun "so rasch wie möglich" zusätzliche Maßnahmen zur Passwortsicherung ergriffen würden: Die Speicherung erfolge künftig ausschließlich salted und hashed, und der Zugriff durch Service-Mitarbeiter werde vollständig unterbunden. Er betonte paradoxerweise auch, dass die Datenbanken bereits zuvor verschlüsselt und gut gesichert gewesen seien; wie diese Aussage mit den bisherigen Zugriffsmöglichkeiten vereinbar ist, ließ er offen.

"Amazingly good" Security

Ausgangspunkt der Debatte war der Hinweis einer österreichischen T-Mobile-Kundin darauf, dass der Anbieter Kundenpasswörter auf eine maximale Länge von 16 Zeichen limitiere und ausschließlich ASCII-Zeichen akzeptiere. Ein anderer Kunde mutmaßte, dass die Passwörter darüber hinaus im Klartext auf den Servern gespeichert würden, damit der Kundenservice in der Lage sei, die Identität von Anrufern zu validieren. Dass dies bislang auf die ersten vier Zeichen jedes Passworts zutraf, wurde im Laufe der sich daraus entspinnenden Diskussion von einer T-Mobile-Austria-Mitarbeiterin über den offiziellen Twitter-Account des Unternehmens bestätigt.

Peinlich wurde es für den Mobilfunkanbieter, als eine Mitarbeiterin namens "Käthe" denselben Account nutzte, um ihr (aus Security-Perspektive besorgniserregendes) Unverständnis über die Kundenbesorgnis zu äußern: Sie begreife das Problem nicht, das sich aus der Klartext-Speicherung ergäbe. Schließlich sei die Sicherheit bei T-Mobile Austria doch ohnehin so "amazingly good", dass eine Kompromittierung der Infrastruktur völlig unmöglich sei.

Sicher geht anders

Dafür erntete sie nicht nur Spott, Fassungslosigkeit und Aufmerksamkeit von vielen Seiten – unter anderem retweetete und kommentierte der Sicherheitsforscher Troy Hunt ("Have I Been Pwned") ihre Statements – sondern veranlasste zugleich auch einige Nutzer dazu, den Wahrheitsgehalt dieser Aussage zu überprüfen. Bald darauf hingen der Twitter-Diskussion Screenshots an, die mehrere Cross-Site-Scripting-Lücken auf t-mobile.at aufzeigten und darüber hinaus auch dokumentierten, dass Apache-, PHP- und WordPress-Versionen der Webseite veraltet waren.

Spaßvögel richteten einen Twitter-Acount namens "Käthe on Security" mit raffinierten (aber nicht nachahmenswerten) Tipps für den Umgang mit Passwörtern ein.

Security-Tip Nr.3: Ein gutes Passwort sollte immer mindestens 5 Zeichen haben! Warum? Damit niemand vom Kundendienst das komplette Passwort einsehen kann. Aus Sicherheitsgründen sieht der immer die ersten vier Zeichen. Der Rest Deines Passworts bleibt unter uns. Versprochen! ὠ9 pic.twitter.com/rPsUs5aMWb — Käthe on Security (@KatheOnSecurity) 7. April 2018

Der freie Journalist Hanno Böck berichtete zudem, dass es ihm möglich gewesen sei, von mehreren T-Mobile-Austria-Subdomains/-Blogs ein Git-Repository herunterzuladen. Darin habe sich eine Kopie der Wordpress-Installation nebst Konfigurationsdatei befunden, die wiederum Zugangsdaten zu einer MySQL-Datenbank enthalten habe. Im schlimmsten Fall hätte diese Lücke laut Böck die Übernahme der entsprechenden Webseiten ermöglichen können – etwa um Malware auszuliefern oder Kyptowährungen zu schürfen. Nachdem er das Problem an den Mobilfunkanbieter meldete, sperrte dieser den Zugriff.

[Update 11.04.2018 13:39 Uhr]: "Käthe on Security"-Tweet eingefügt (ovw)