Passwörter im Klartext: IT-Experten spotten über T-Mobile

Wer Kunde bei T-Mobile ist und die Service-Hotline anruft, kennt das Prozedere: Man muss dem Service-Mitarbeiter sein Passwort ansagen, mit dem man sich auch in das Portal der Website einloggt. T-Mobile Austria wurde auf Twitter gefragt, ob die Mitarbeiter tatsächlich die Passwörter der User sehen können.

Andrea antwortete über den T-Mobile-Twitter-Account: „Der Service-Mitarbeiter sieht die ersten vier Zeichen deines Passworts. Wir speichern das gesamte Passwort, weil du es für den Login für mein.t-mobile.at brauchst.“ Diese Antwort interpretierten User auf Twitter so, dass das gesamte Passwort im Klartext abgespeichert wird – obwohl das T-Mobile so nicht gesagt hat.

Was folgte war eine Anschuldigung, dass das Speichern von Klartextpasswörtern unartig sei und T-Mobile Austria zu den Plain Text Offenders gehöre. In der Zwischenzeit war wohl Schichtwechsel bei der Social-Media-Abteilung von T-Mobile und Käthe übernahm den Twitter-Account.

Anscheinend hat sie nicht ganz verstanden, dass das vermeintliche Problem die Speicherung des Passworts im Klartext ist. Sie begann sich für das generelle Speichern der Passwörter zu rechtfertigen: „Ich weiß nicht wo das Problem ist. Wir sichern alle unsere Daten sehr sorgfältig, es gibt nichts, worüber man sich sorgen müsste.“

Erstaunlich gute Security

Danach kam die Frage was denn sei, wenn die Infrastruktur von T-Mobile gehackt werde und die Klartext-Passwörter im Internet veröffentlicht würden. Käthes Antwort: „Was, wenn das nicht passiert, weil unsere IT-Sicherheit erstaunlich gut ist?“

Diese Aussage in Zusammenhang mit der Annahme, dass T-Mobile die Passwörter im Klartext speichert, verbreitete sich. IT-Forscher weltweit spotteten über den Mobilfunker, inklusive Troy Hunt, dem IT-Sicherheitsforscher hinter haveibeenpwnd.

Auch die https-gesicherte Website von T-Mobile wurde Kurzerhand gehackt, um Pop-Up-Fenster mit „Only the best security“ und mit „What if this doesn’t happen because our security is amazingly good?“ auftauchen zu lassen.

Aufklärung

Käthe verteidigte sich in der Zwischenzeit weiter und fragte die Angreifer, ob sie etwa für T-Mobile arbeiten würden oder eine Ahnung hätten, wie Mobilfunkanbieter funktionieren.

Nachdem sich auch Vice und andere US-Medien für die „erstaunlich gute“ IT-Security interessierten, schritt endlich Helmut ein, um die Sache per T-Mobiles Twitter-Account aufzuklären: „Service-Mitarbeiter sehen nur Teile des Passworts. Die Passwörter der Kunden werden in verschlüsselten Datenbanken gespeichert. Wir verwenden auch einmalige PINs zur Kunden-Authentifikation und evaluieren die Stimm-Biometrie.“

Update: T-Mobile hat folgende Stellungnahme abgegeben, mit "bitte um Berücksichtigung": Klarstellung zu Social-Media-Posts über Kennwort-Sicherheit bei T-Mobile Austria: Es gibt keinerlei Datenlücke (Data Breach) bei T-Mobile Austria. Die Datenbanken sind verschlüsselt und geschützt. Wir nehmen jedoch die Diskussionen über Security-Standards sehr ernst und werden weitere Maßnahmen setzen.