T-Mobile-Website ließ Hacker massenweise Nutzerdaten abrufen – dafür brauchten sie nur Telefonnummern zu raten

Bis Ende vergangener Woche klaffte auf der Website von T-Online eine riesige Sicherheitslücke. Hacker brauchten nur die Telefonnummer eines Opfers eingeben, um auf sensible Nutzerdaten zuzugreifen. Am vergangenen Freitag, einen Tag nachdem Motherboard T-Mobile zu diesem Bug angefragt hatte, schloss der Konzern nach eigenen Angaben die Sicherheitslücke.

Die Schwachstelle, die vom Sicherheitsforscher Karan Saini auf der Website der US-Tochter der Deutschen Telekom entdeckt worden war, ermöglichte es Hackern durch die Eingabe von bekannten oder erratenen Telefonnummern eine Vielzahl persönlicher Daten der Kunden abzurufen. Darunter fallen E-Mail-Adressen, T-Mobile-Kundennummern und die IMSI-Nummer, eine Nummer zur eindeutigen Identifizierung von Netzteilnehmern.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Saini, Gründer des Startups Secure 7, unterstreicht das riesige Ausmaß dieser Schwachstelle: "T-Mobile hat in den USA 76 Millionen Kunden. Ein Angreifer hätte also mit einem Skript Daten wie E-Mail-Adresse, Name, Rechnungsnummer, IMSI-Nummer und andere Daten für diese Accounts scrapen können. Damit hätte man automatisch eine Datenbank mit detaillierten und tagesaktuellen Daten über alle 76 Millionen Kunden erstellen können."

"Das wäre eine riesige Datenschutzlücke, der jeder Besitzer eines T-Mobile- Handys zum Opfer fallen könnte", fügt er hinzu.

Laut Saini gab es keinen Schutzmechanismus, der Angreifer daran gehindert hätte, die Sicherheitslücke durch ein solches Skript auszunutzen. Ein Hack dieser Größenordnung wäre mit dem Angriff des rechtsextremen Trolls und Hackers Weev vergleichbar, der 2010 über eine Schwachstelle auf der Website von AT&T die E-Mailadressen von 114.000 iPad-Nutzern ergatterte. Für den Hack musste Andrew Auernheimer, wie Weev mit bürgerlichem Namen heißt, ein Jahr ins Gefängnis. Im November 2015 entdeckten Sicherheitsforscher eine ähnliche Sicherheitslücke auf einer Website des Mobilfunkanbieter MetroPCS, die mit ihrer Hilfe geschlossen werden konnte.

Der Sicherheitsforscher Karsten Nohl, der sich auf Smartphone-Sicherheit spezialisiert hat, erklärte uns, dass Hacker oder Kriminelle über die IMSI-Nummer den Aufenthaltsort eines Opfers ausfindig machen können, Anrufe und SMS abfangen könnten oder andere Sicherheitslücken im schlecht geschützten SS7-System ausnutzen könnten, das die verschiedenen Mobilfunknetze weltweit miteinander verbindet. Nohl fügte allerdings auch hinzu, dass sich mit den IMSI-Nummern allein kein schnelles Geld verdienen ließe, daher ist es schwer einzuschätzen, wie attraktiv ein solcher Angriff für Cyberkriminelle tatsächlich wäre.

Ebenfalls auf Motherboard: Totalüberwachung für 150 Euro

Der Bug bei T-Mobile befand sich laut Saini in der Programmierschnittstelle (API) von wsg.t-mobile.com. Der Sicherheitsforscher entdeckte, dass er nur nach der Telefonnummer eines Nutzers suchen brauchte, und die API ihm als Antwort die persönlichen Daten des Nutzers ausspuckte.

Als wir T-Mobile mit Sainis Entdeckungen konfrontieren, antwortet die Firma, dass nur eine sehr kleine Anzahl an Kunden von dem Problem betroffen gewesen sei. Das deckt sich allerdings nicht mit Sainis Erkenntnissen. In einem Statement an Motherboard schrieb T-Mobile: "Wir wurden auf ein Problem hingewiesen, das wir untersucht und in weniger als 24 Stunden gelöst haben. Es gibt keine Hinweise darauf, dass dieses Problem weit verbreitet war."

Der T-Mobile-Sprecher wies uns per E-Mail außerdem auf das Bug Bounty Programm des Unternehmens hin, über das freundliche Hacker Sicherheitslücken melden können und dafür eine Belohnung erhalten. "Sicherheitsforscher können uns unter folgenden Adressen kontaktieren: secure@t-mobile.com, security@t-mobile.com, bug-bounty@t-mobile.com." Saini zufolge hat T-Mobile ihm für seine Entdeckung gedankt und eine Belohnung in Höhe von 1.000 US-Dollar angeboten.

Gegen T-Mobiles beschwichtigende Stellungnahme spricht allerdings die Aussage eines Hackers, der Motherboard kontaktierte, nachdem dieser Artikel in der OriginalversionDienstagabend in den USA erschienen war. Der Hacker wollte anonym bleiben und warnte davor, dass der kürzlich beseitigte Bug in den letzten Wochen tatsächlich bereits von anderen böswilligen Hackern gefunden und ausgenutzt worden war.

"Einige SIM-Swapper kannten diese Schwachstelle und haben sie eine Weile lang ausgenutzt", erklärte der Hacker. Beim sogenannten SIM-Swapping übernehmen Angreifer die Telefonnummern ihrer Opfer, indem sie sich als die rechtmäßigen Besitzer der Nummer ausgeben und sich neue SIM-Karten zuschicken lassen.

Um seine Behauptung zu beweisen, schickte der Hacker unserem Autoren die Daten dessen Accounts zu. Das würde dafür sprechen, dass die Sicherheitslücke bekannt war – und sich Hacker an den Daten durchaus bereits zu schaffen gemacht habent.

Scheinbar haben die Hacker, die den Bug noch vor Saini entdeckt haben, bereits im August ein Tutorial auf YouTube hochgeladen, das beschreibt, wie man die Schwachstelle ausnutzen kann.

Als wir T-Mobile mit den Behauptungen des Hackers konfrontieren, erhalten wir folgende Antwort vom Sprecher der Firma: "Wir haben die Sicherheitslücke, die uns der Sicherheitsforscher gemeldet hat, in weniger als 24 Stunden geschlossen. Wir haben außerdem sichergestellt, dass sie auf keinem bekannten Weg mehr ausgenutzt werden kann. Bisher haben wir keine Hinweise darauf gefunden, dass Kundenkonten durch diese Schwachstelle gefährdet waren."