News - Internet - Allgemeines
Redakteur: Ronny
Aus einem Bericht des Chaos Computer Club geht hervor, dass seit einem größerem Zeitraum schwere Sicherheitsmängel in der T-Com-Datenbank OBSOC (Online Business Solution Operation Center) existieren. Mit ein wenig Aufwand konnte laut dem Artikel jeder Nutzer die Kunden- und Unternehmensdaten einsehen und sogar bearbeiten.
Die Datenbank dient zur Vertragsverwaltung mit der sich alle relevanten Kundenvertragsdaten abrufen und ändern lassen. Kunden können mit Hilfe von OBSOC neue Tarifoptionen zukaufen oder andere Änderungen an ihrem Vertrag vornehmen. Die gleiche Datenbank wird aber auch von Mitarbeitern genutzt, die je nach Berechtigungslevel Zugriff auf verschiedene Bereiche von Vertragsdaten haben.
Der CCC veröffentlichte einen Artikel von Dirk Heringhaus, der sich seit Mitte 2003 mit den Sicherheitslücken beschäftigte. In diesem Artikel erläuterte Heringhaus die Problematik genauer, so wurden Datensätze nur durch ihre Vertragsnummer in der URL referenziert, war man dann authentifiziert, konnte man auf alle Kundendaten der Datenbank zugreifen und sie modifzieren.
Bei weiteren Recherchen deckte der Autor auf, dass viele T-Com-Mitarbeiter völlig unsichere Passwörter nutzten (Nutzername = Passwort). Mit diesem Wissen war es ihm möglich, Vollzugriff auf T-Com-interne Systeme innerhalb von OBSOC zu erhalten. Dank dieser Systemlücke konnte Heringhaus Zugangsdaten von T-Com-Kunden einsehen und ebenfalls verändern.
Auf entsprechenden Windows-Servern lagen gar noch Verwaltungsskripte, die es erlaubten, per Directory Traversal Zugriff auf die kompletten Laufwerke zu erhalten.
Der Chaos Computer Club und Artikelautor Dirk Heringhaus sorgen sich vorallem um den Datenschutz, ist die Wahrscheinlichkeit doch gegeben, dass sich bereits Menschen mit genügend krimineller Energie in den Datenbeständen herumgetrieben haben. "Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", sagte Dirk Engling, Redakteur des CCC-Magazins Datenschleuder.
Über den weiterführenden Link erreicht man eine eigens für den "T-Hack" eingerichtete Seite auf der die vollständige Kommunikation zwischen Heringhaus und Telekom dargestellt wird. Aus dem Inhalt dieser Seite wird deutlich, wie gering die Bemühungen seitens der Telekom waren, die aufgedeckten Sicherheitsmängel zu beseitigen.
Die Datenbank dient zur Vertragsverwaltung mit der sich alle relevanten Kundenvertragsdaten abrufen und ändern lassen. Kunden können mit Hilfe von OBSOC neue Tarifoptionen zukaufen oder andere Änderungen an ihrem Vertrag vornehmen. Die gleiche Datenbank wird aber auch von Mitarbeitern genutzt, die je nach Berechtigungslevel Zugriff auf verschiedene Bereiche von Vertragsdaten haben.
Der CCC veröffentlichte einen Artikel von Dirk Heringhaus, der sich seit Mitte 2003 mit den Sicherheitslücken beschäftigte. In diesem Artikel erläuterte Heringhaus die Problematik genauer, so wurden Datensätze nur durch ihre Vertragsnummer in der URL referenziert, war man dann authentifiziert, konnte man auf alle Kundendaten der Datenbank zugreifen und sie modifzieren.
Bei weiteren Recherchen deckte der Autor auf, dass viele T-Com-Mitarbeiter völlig unsichere Passwörter nutzten (Nutzername = Passwort). Mit diesem Wissen war es ihm möglich, Vollzugriff auf T-Com-interne Systeme innerhalb von OBSOC zu erhalten. Dank dieser Systemlücke konnte Heringhaus Zugangsdaten von T-Com-Kunden einsehen und ebenfalls verändern.
Auf entsprechenden Windows-Servern lagen gar noch Verwaltungsskripte, die es erlaubten, per Directory Traversal Zugriff auf die kompletten Laufwerke zu erhalten.
Der Chaos Computer Club und Artikelautor Dirk Heringhaus sorgen sich vorallem um den Datenschutz, ist die Wahrscheinlichkeit doch gegeben, dass sich bereits Menschen mit genügend krimineller Energie in den Datenbeständen herumgetrieben haben. "Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen", sagte Dirk Engling, Redakteur des CCC-Magazins Datenschleuder.
Über den weiterführenden Link erreicht man eine eigens für den "T-Hack" eingerichtete Seite auf der die vollständige Kommunikation zwischen Heringhaus und Telekom dargestellt wird. Aus dem Inhalt dieser Seite wird deutlich, wie gering die Bemühungen seitens der Telekom waren, die aufgedeckten Sicherheitsmängel zu beseitigen.
weiterer Link
Quelle
: https://www.ccc.de/updates/2004/obsoc?language=de
15.06.05
17.05.04
08.04.04
28.11.03
18.08.03
02.08.03
01.08.03
12.07.03
07.07.03
03.07.03
03.07.03