Schwere Sicherheitslücke in Drei-Kundenportal entdeckt

Laut einem Bericht des WebStandard soll eine schwere Sicherheitslücke den Zugriff auf Kundendaten sowie den Admin-Bereich der Drei-Kundenzone erlaubt haben. Dazu war lediglich die Rufnummer des Opfers notwendig. Ursache war ein fehlerhaftes Tool zum Zurücksetzen der PIN, mit der Drei-Kunden sich in den Admin-Bereich einloggen können. Der Angreifer musste lediglich die Drei-Rufnummer des Opfers eingeben, anschließend konnte er mit einer beliebigen PIN das Passwort zurücksetzen. Eigentlich wäre dafür eine PIN erforderlich, die per SMS an die eingegebene Rufnummer geschickt wird, doch das Tool ist offenbar defekt und akzeptierte jede beliebige Zahlenkombination.

Unklar, ob Lücke ausgenutzt wurde

Laut Drei habe man das betreffende Tool sofort deaktiviert. "Wir sind im Laufe des Tages darauf gestoßen und haben sofort reagiert", meinte Tom Tesch, Pressesprecher von Drei, gegenüber der futurezone. Man habe nahezu zeitgleich zum Aufkommen des Berichts des WebStandard davon erfahren und damit begonnen, die Vorfälle zu analysieren. Das Tool war erst seit knapp einer Woche online. Ob es zu unerlaubten Zugriffen auf Kundendaten gekommen sei laut Drei noch nicht klar, die Analyse werde eine Weile brauchen, meinte Tesch gegenüber der futurezone.

Alle Apps betroffen

Tesch betonte jedoch, dass man keine Einkäufe ohne ein entsprechendes Kundenpasswort tätigen könne. Über die Methode hatte man jedoch vollständigen Zugriff auf das Admin-Portal, in dem Name, Adresse, Rufnummer sowie Rechnungen einsehbar sind. Von der Lücke sollen neben dem Web-Interface auch die Apps für Android, iOS und Windows Phone betroffen sein.