Heise.de und golem.de berichten über eine Vorabmeldung des Spiegels. Dem Magazin zufolge soll es bis zum 9. Oktober möglich gewesen sein, über das Internet nur mit einigen Benutzerangaben und einem Passwort auf alle T-Mobile-Kundendaten zuzugreifen und diese zu ändern. Ja, alle Kundendaten, inkl. Bankdaten. Selbst eine SIM-Sperre war möglich, genauso wie eine Tarifänderung oder das Anlegen/Ändern von Einzugsermächtigungen.
Die Meldung klingt so frappierend nach der schon Anfang Oktober bekannt gewordenen Lücke, dass ich zuerst dachte, hier würde kalter Kaffee wieder aufgewärmt. Aber Pustekuchen, es handelt sich um eine neue Lücke - die dafür diesmal "nur" die T-Mobile-Kunden - hierbei handelt es sich ja auch "nur" um 37 Millionen (laut Wikipedia).
Anscheinend haben sich Spiegel-Redakteure in die Datenbank einloggen können und Daten ändern können. Die Telekom sagt, sie hätte die Lücke innerhalb von 24 Stunden geschlossen und auf ein PIN/TAN-Verfahren umgestellt, bei der Kunde die TAN per SMS auf sein Handy zugesandt bekommt.
Aber mal ein Blick hinter die PR-Angaben: es gab bis 2007 genau so ein Leck bei den Telekom-Kundendaten. Auch hier waren die Kundendaten über das Internet einsehbar, durch Passwort und Benutzerkennung geschützt. Im August 2007 ist nach Angaben der Telekom diese Lücke dann geschlossen worden. Und dann? Bei der Telekom kommt niemand auf die Idee, dass ein ähnliches System bei T-Mobile genauso unsicher ist? Oder wurde das System geändert und es handelte sich bei der Lücke schon um eine "sicherere" Variante? Ich bin mir nicht sicher, was schlimmer ist...
Da wundert es auch nicht, dass T-Mobiles neue Sicherheitsoffensive mit Einrichtung eines Vorstandsposten für Datenschutz eher skeptisch aufgenommen wird. Die Telekom hat dabei auch angekündigt, ab nächster Woche bei neuen Datenpannen die Kunden umgehend zu informieren. Damit hat man sich für dieses Mal noch aus der Affäre gezogen, wohl um dem Spiegel die Exklusivmeldung zu überlassen.
Warten wir ab, was als nächstes passiert. Wetten werden entgegen genommen...
Kommentare
Do, 04.09.2008 08:06
Das Thema Datenschutz scheint doch nicht so unbeachtet zu se in, wie man manchmal hört. Die Zahl der Anfragen, die [...]
Do, 04.09.2008 08:06