Nach Social-Media-Debakel: T-Mobile will Passwörter nicht mehr im Klartext speichern
T-Mobile ist am Wochenende in einen Shitstorm geraten, weil eine Social-Media-Mitarbeiterin erklärt hatte, dass Service-Mitarbeiter die ersten vier Zeichen des Online-Passworts einsehen können. Die Schlussfolgerung dazu lautete, dass die Online-Passwörter der Kunden im Klartext gespeichert sein könnten.
Das Speichern des kompletten Passworts im Klartext gilt heutzutage aber als extrem unsichere Praxis. Vielmehr ist es mittlerweile üblich, nur die Hashes von Passwörtern zu speichern, die mit geeigneten Streuwertfunktionen aus natürlichen Zahlen erzeugt werden. Als der IT-Sicherheitsforscher Troy Hunt, der hinter „haveibeenpwnd“ steckt, den Tweet von T-Mobile teilte, brach unter dem Hashtag #amazingsecurity eine Flut an User-Kommentaren los.
Am Wochenende stellte T-Mobile lediglich klar, dass die Datenbank dahinter verschlüsselt sei und es bisher zu keinem „Datendiebstahl“ der Passwörter gekommen sei. Der CEO von T-Mobile, Andreas Bierwirth, teilte am Sonntag in einem Tweet mit: „Sollte es etwas zu verbessern geben, so wird es verbessert. Dafür steht das Unternehmen und ich selbst. Security ist und bleibt eines meiner wichtigsten Anliegen.“
Änderung der Praxis geplant
Die futurezone hat am Montag noch einmal beim Mobilfunkanbieter nachgefragt, ob die Passwörter nun tatsächlich im Klartext gespeichert werden und ob T-Mobile plant, etwas an dieser Praxis zu ändern. Die Antwort von Barbara Holzbauer, Pressesprecherin von T-Mobile, im Wortlaut: „Wir nehmen die Diskussionen über Security-Standards sehr ernst und werden darum weitere Maßnahmen setzen. Dazu wird künftig das Online-Passwort „gesalted“ und „gehashed“ abgespeichert, dies gilt derzeit als State-of-the-Art. Für weitere Kanäle wie Shops und Callcenter werden wir ein zweites Sicherheitskriterium einführen. Diese Maßnahmen werden so rasch wie möglich umgesetzt.“
"Gehasht und gesaltet" sind zwei Fachausdrücke aus der Kryptografie. " Salt" bezeichnet dabei eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion angehängt wird. Die Hash- oder Streuwerte sind dabei meist Werte aus einer begrenzten Teilmenge der natürlichen Zahlen, die anstelle des Klartexts eingesetzt werden.
Auf dem Twitter-Account von T-Mobile war dazu etwas von einer „Evaluierung von Stimmbiometriedaten“ zu lesen. Dazu heißt es seitens des Mobilfunkers jetzt auf Nachfrage: "Wir evaluieren derzeit internationale Erfahrungen mit Voice Biometrics. Wir betreiben jedoch selbst keinen eigenen Pilotversuch oder Trial." T-Mobile betonte aber erneut, dass die bisher gängige Praxis zu „keinerlei Datenlücke bei T-Mobile Austria“ geführt habe. „Unsere Datenbanken sind verschlüsselt und geschützt, unsere Infrastruktur wird laufend gepflegt und nach Sicherheitskriterien weiterentwickelt.“
Zwar hat es am Wochenende keinen „Data breach“ bei den Passwörtern gegeben, aber Sicherheitsforscher haben mehrere Schwachstellen auf den Websites von T-Mobile gefunden, darunter etwa Cross-Site-Scripting-Lücken. Bei mehreren Blogs des Unternehmens (etwa unter blog.t-mobile.at) war es möglich, ein Git-Repository runterzuladen. Dadurch wäre es leicht möglich gewesen, entsprechende Websites zu übernehmen oder Malware darauf zu platzieren. „Wir haben selbstverständlich alle unsere Blogs noch in der Nacht von Freitag auf Samstag auf Schwachstellen geprüft und mögliche Schwächen beseitigt“, heißt es dazu seitens T-Mobile.
UPC
Kunden eines anderen IT-Dienstleisters in Österreich berichten unterdessen auf Twitter, dass dieser ebenfalls Passwörter im Klartext speichere und per E-Mail an Kunden verschicke. Dies solle Praxis bei UPC sein. Angefügt ist ein Screenshot. UPC entgegnete dazu auf futurezone-Anfrage: "Zum Thema Umgang mit Passwörtern gebe ich Ihnen gerne die Info, dass unsere Privatkunden ihre Zugangsdaten – bestehend aus Username und Passwort – in einem postalischen Schreiben persönlich adressiert erhalten. Hier wird unter anderem darauf hingewiesen, dass Passwörter geändert bzw. personalisiert werden sollen. Unsere Geschäftskunden erhalten in einem Mail einen Teil der Zugangsdaten (Username) und einen Link zum Generieren des persönlichen Passworts. Die personenbezogenen Passwörter werden bei UPC verschlüsselt gespeichert."