Sicherheitslücke bei Apple zeigte Passwörter von Millionen US-Mobilfunkkunden
Zwei Sicherheitsforscher haben mehrere Sicherheitslücken entdeckt, die dazu geeignet waren, Millionen Passwörter von Mobilfunkkunden der US-Firmen T-Mobile, Asurion und Sprint auszuspionieren. Das berichtet BuzzFeed mit Hinweis auf die Sicherheitsexperten "Phobia" und Nicholas "Convict" Ceraolo, die die Schwachstellen in Apples Onlineshop und bei Asurion entdeckt hatten. Die betroffenen Unternehmen sollen die Einfallstore bereits geschlossen haben.
Erst zwischen T-Mobile und Apple,…Bereits am Freitag hieß es in US-Medien, dass die mobilen Kunden-PINs der 77 Millionen T-Mobile-Kunden in den USA durch einen Hack sichtbar gemacht werden konnten. Die Lücke lag in der Verifikationsabfrage für iPhone-Nutzer. Dort verlangt Apple Rufnummer und PIN des T-Mobile-Nutzers, beziehungsweise seine Sozialversicherungsnummer. Hacker konnten an dieser Stelle über eine unendliche Menge an Versuchen – etwa über einen Brute-Force-Angriff – an die richtigen Daten kommen. Für andere US-Mobilfunkkunden war die Anzahl an Eingabeversuchen bereits limitiert, bei Erreichen sperrt sich das Formular für 60 Minuten. Ceraolo gab an, der Fehler habe in der Verknüpfung der T-Mobile-API mit Apples Website gelegen.
dann über Asurion bei AT&T…Beim Versicherungsanbieter Asurion zeigte sich die Schwachstelle an anderer Stelle, bestand aber im selben Mechanismus: Wer die AT&T-Rufnummer eines Kunden wusste, konnte auf eine andere Seite gelangen, bei der ebenfalls unendlich viele PIN-Versuche am Ende zum Erfolg führen konnten. Ceraolo informierte darüber, dass die meisten PIN-Codes vierstellig ausfallen und daher in einem "vertretbaren Zeitrahmen" erarbeitet werden können. Entsprechende Brute-Force-Attacken wurden jedoch nicht bekannt. AT&T ließ verlauten, man arbeite zusammen mit Asurion daran, die Kunden besser zu schützen.
… zum Schluss bei SprintWenig später berichtete TechCrunch von einem ähnlichen Sicherheitsleck beim Anbieter Sprint. Auf der firmeneigenen Seite nutzte das Unternehmen zwei Sets von leicht zu erratenden User-IDs und Passwörtern. So konnten Experten auf das interne Portal kommen und darüber Zugang zu Nutzerdaten erhalten. Das Mitarbeiter-Portal biete unter anderem Dienste wie Gerätewechsel, Vertragsmanagement und Aktivierungsstatus, warnte der Sicherheitsermittler, der ungenannt bleiben wollte. Auch die Kundendaten von Boost und Virgin Mobile seien betroffen gewesen, da sie zur Sprint-Gruppe gehören. Ein Sprecher bestätigte, Sprint arbeite bereits an einer Lösung für das Problem.
Einfallstore für IdentitätsklauDas Problem bei leicht zu knackenden Webseiten-Accounts der Mobilfunkbetreiber liegt im sogenannten SMS-Hijacking. Bei der Methode leiten Kriminelle Anrufe und SMS auf ein anderes Telefon, etwa per fingierten Kontoumzug, um dann alle möglichen Passwörter per SMS neu anlegen zu lassen. Mithilfe der wiedergestellten Accounts räumen sie dann Bitcoin- und Onlinebanking-Konten leer. Zum Teil sollen dabei auch Zwei-Faktor-Authentifizierungen ausgehebelt worden sein. Erst kürzlich erbeuteten Gauner mehrere Millionen US-Dollar mit dieser Masche.