Eine Nutzerin wollte wissen, ob T-Mobile Passwörter im Klartext abspeichert. Eine unbedachte Antwort einer Mitarbeiterin hatte einen Shitstorm und Entlassungsforderungen zur Folge, aber auch verschlüsselte Passwörter für Nutzer.
Kundenbetreuung via Twitter kann eine herausfordernde Angelegenheit sein. Vor allem, wenn eine Frage bezüglich Datensicherheit auf die leichte Schulter genommen wird und man mehr Wert auf Witz und Esprit legt als auf Problemlösung.
Bei Twitter fragte eine Nutzerin bei T-Mobile-Austria nach, ob tatsächlich die Passwörter für meintmobile.at im Klartext gespeichert werden. Das wäre nicht nur problematisch im Fall eines Hackerangriffs von Außen. Für Angreifer sind die Daten auf einem Silbertablett serviert. Darum greifen viele Unternehmen mittlerweile auf die Hash-Methode zurück. Dabei wird aus einem Passwort wie zum Beispiel "diepresse1848" mit Hilfe eines MD5-Strings automatisch eine Zeilen-Buchstabenfolge kreiert, aus dem sich nicht mehr das ursprüngliche Passwort rekonstruieren lässt, da Hash-Funktionen nur in eine Richtung arbeiten. Der String sieht dann folgendermaßen aus: 2d32a5d5854abb1b215170a1224eb0cd
Die zweite Mitarbeiterin geht auf Twitter in die Offensive
Die erste T-Mobile-Mitarbeiterin antwortete vage und erklärte, dass nur die ersten vier Zeichen des Passworts einsehbar seien und man diese zur Überprüfung der Identität des Anrufers brauche. Ob dabei die Passwörter im Klartext abgespeichert werden, beantwortete sie nicht. Im Gegensatz zu einem Telefonat, in dem man seinen Gesprächspartner abwimmeln kann, wenn es unangenehm wird, mischen sich bei Twitter noch weitere Leute ein.
Die zweite Mitarbeiterin, die sich am nächsten Tag bei dem Thema einschaltet, schlägt einen harscheren Ton an, wohl um die Diskussion im Keim zu ersticken. "Ich verstehe wirklich nicht, warum das ein Problem sein sollte. Wir sichern alle Daten, deswegen gibt es auch nichts zu befürchten", schreibt die Mitarbeiterin auf Twitter.
Zwischenstand: Die Kundendienstmitarbeiter von T-Mobile versuchen anfänglich der Frage ob Passwörter unverschlüsselt abgespeichert werden, aus dem Weg zu gehen. Als das nicht funktioniert, geht eine Mitarbeiterin in die Offensive.
Die Strategie geht nach hinten los, denn als die Mitarbeiterin auch noch schreibt, dass die Sicherheitsvorkehrungen bei T-Mobile "amazingly good" sind, provoziert sie die Twitter-Gemeinde.
In nur wenigen Stunden fühlen sich IT-Experten und Entwickler und Twitter-User dazu genötigt, den Gegenbeweis zu bringen. Und es gibt kein System, das zu 100 Prozent sicher ist. Das versucht auch User @Korni22 der Mitarbeiterin zu erklären und schreibt, dass er selbst drei Jahre beim Mutterunternehmen in Deutschland gearbeitet hat.
Kein System ist zu 100 Prozent sicher
Während man sich auf Twitter unterhält, streitet und sich über T-Mobile auch lustig macht, macht sich golem.de auf die Suche nach Lücken und Sicherheitsproblemen. Bei T-Mobile-Deutschland wird man auch schnell fündig: "Im Repository unter blogs.t-mobile.at fand sich eine Wordpress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden. Wir haben das Problem an T-Mobile Österreich gemeldet. Der Zugriff auf das entsprechende Verzeichnis ist inzwischen gesperrt."
Mit diesem Fehler hätte Schadsoftware ausgespielt werden können, oder Angreifer hätten die Prozessorleistung der Webseitenbesucher anzapfen können, um nach Kryptowährungen zu schürfen. Dies ist zum Beispiel bereits bei Teslas Webseite geschehen.
Andere gefundene Schwachstellen wurden dazu genutzt, um Fehlermeldungen auf der Webseite auszuspielen. Wie zum Beispiel: "Liebe Grüße an die IT-Abteilung" oder "What if this doesn't happen because our security is amazingly good?"
Sicherheitsforderung erhört, Kündigungsforderung nicht
Schnell bekam der Thread einen neuen Dreh und User begannen die Entlassung der Mitarbeiterin zu fordern. Verteidigend eingeschritten sind dann hier doch noch die ursprüngliche Fragenstellerin und der ehemalige Telekom-Mitarbeiter. T-Mobile hat sich hierzu bereits geäußert. Käthe, so der Name der Mitarbeiterin wird ihren Job behalten.
Nachdem Tweets von PR-Chef Helmut Spudich und T-Mobile-CEO Andreas Bierwirth kein Ende der Diskussion brachten, entschied man sich zu einem Kurswechsel. Gegenüber Futurezone erklärte T-Mobile: "Wir nehmen die Diskussionen über Security-Standards sehr ernst und werden darum weitere Massnahmen setzen. Dazu wird künftig das Online-Passwort ‹gesalted› und gehashed abgespeichert, dies gilt derzeit als State-of-the-Art. Für weitere Kanäle wie Shops und Callcenter werden wir ein zweites Sicherheitskriterium einführen. Diese Massnahmen werden so rasch wie möglich umgesetzt."
(bagre)