The logo of T-Mobile Austria is seen outside of one of its shops in Vienna
© REUTERS / LEONHARD FOEGER

Digital Life

Passwörter im Klartext: IT-Experten spotten über T-Mobile

Wer Kunde bei T-Mobile ist und die Service-Hotline anruft, kennt das Prozedere: Man muss dem Service-Mitarbeiter sein Passwort ansagen, mit dem man sich auch in das Portal der Website einloggt. T-Mobile Austria wurde auf Twitter gefragt, ob die Mitarbeiter tatsächlich die Passwörter der User sehen können.

Andrea antwortete über den T-Mobile-Twitter-Account: „Der Service-Mitarbeiter sieht die ersten vier Zeichen deines Passworts. Wir speichern das gesamte Passwort, weil du es für den Login für mein.t-mobile.at brauchst.“ Diese Antwort interpretierten User auf Twitter so, dass das gesamte Passwort im Klartext abgespeichert wird – obwohl das T-Mobile so nicht gesagt hat.

Wir würden hier gerne einen X Post zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte X zu.

Was folgte war eine Anschuldigung, dass das Speichern von Klartextpasswörtern unartig sei und T-Mobile Austria zu den Plain Text Offenders gehöre. In der Zwischenzeit war wohl Schichtwechsel bei der Social-Media-Abteilung von T-Mobile und Käthe übernahm den Twitter-Account.

Anscheinend hat sie nicht ganz verstanden, dass das vermeintliche Problem die Speicherung des Passworts im Klartext ist. Sie begann sich für das generelle Speichern der Passwörter zu rechtfertigen: „Ich weiß nicht wo das Problem ist. Wir sichern alle unsere Daten sehr sorgfältig, es gibt nichts, worüber man sich sorgen müsste.“

Wir würden hier gerne einen X Post zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte X zu.

Erstaunlich gute Security

Danach kam die Frage was denn sei, wenn die Infrastruktur von T-Mobile gehackt werde und die Klartext-Passwörter im Internet veröffentlicht würden. Käthes Antwort: „Was, wenn das nicht passiert, weil unsere IT-Sicherheit erstaunlich gut ist?“

Wir würden hier gerne einen X Post zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte X zu.

Diese Aussage in Zusammenhang mit der Annahme, dass T-Mobile die Passwörter im Klartext speichert, verbreitete sich. IT-Forscher weltweit spotteten über den Mobilfunker, inklusive Troy Hunt, dem IT-Sicherheitsforscher hinter haveibeenpwnd.

Auch die https-gesicherte Website von T-Mobile wurde Kurzerhand gehackt, um Pop-Up-Fenster mit „Only the best security“ und mit „What if this doesn’t happen because our security is amazingly good?“ auftauchen zu lassen.

Wir würden hier gerne einen X Post zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte X zu.

Wir würden hier gerne einen X Post zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte X zu.

Aufklärung

Käthe verteidigte sich in der Zwischenzeit weiter und fragte die Angreifer, ob sie etwa für T-Mobile arbeiten würden oder eine Ahnung hätten, wie Mobilfunkanbieter funktionieren.

Nachdem sich auch Vice und andere US-Medien für die „erstaunlich gute“ IT-Security interessierten, schritt endlich Helmut ein, um die Sache per T-Mobiles Twitter-Account aufzuklären: „Service-Mitarbeiter sehen nur Teile des Passworts. Die Passwörter der Kunden werden in verschlüsselten Datenbanken gespeichert. Wir verwenden auch einmalige PINs zur Kunden-Authentifikation und evaluieren die Stimm-Biometrie.“

Update: T-Mobile hat folgende Stellungnahme abgegeben, mit "bitte um Berücksichtigung": Klarstellung zu Social-Media-Posts über Kennwort-Sicherheit bei T-Mobile Austria: Es gibt keinerlei Datenlücke (Data Breach) bei T-Mobile Austria. Die Datenbanken sind verschlüsselt und geschützt. Wir nehmen jedoch die Diskussionen über Security-Standards sehr ernst und werden weitere Maßnahmen setzen.

Wir würden hier gerne einen X Post zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte X zu.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare