Internet-Buchungsangebot der Deutschen Telekom unsicher

Sämtliche Online-Services der Benutzerkonten des Unternehmens T-Systems, die auf dem Framework “OBSOC” basieren, weisen Sicherheitsprobleme auf. Dies berichtet das Vereinsmagazin ‘Die Datenschleuder’ des Chaos Computer Clubs in seiner aktuellen Ausgabe. Das OBSOC regelt Benutzer- und Benutzerrechteverwaltung in dem Konzern, darauf bauen die Deutsche Telekom und ihre Töchter zur Zeit diverse Netzdienstleistungen auf. Online Business Service Operation Center (OBSOC) ist die Basis für Online-Bestellung, -Bereitstellung und -Service im Geschäftskundensegment und seit dem 1. August 2002 auch im Privatkundensegment der Deutschen Telekom.

Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es einem Benutzer erlaubten, mit einfachsten Mitteln (wie etwa dem einfachen Austauschen einer Kundennummer in einer Webadresse) auf fremde Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten erhalten kann, ohne dafür legitimiert zu sein, so das Magazin weiter.

“Das Wissen um die Sicherheitslöcher befähigte die Redaktion, Einblick in vertrauliche Informationen der Betriebsdatenblätter aller Kunden des T-Mart Web-Services zu nehmen”, so Redakteur Dirk Englin, “ein Angreifer wäre somit im Besitz sämtlicher Zugangspasswörter aller Kunden dieser auf OBSOC basierenden Dienstleistung”.

Der Autor habe die Deutsche Telekom seit nunmehr einem Jahr wiederholt vertraulich auf die Sicherheitslücken hingewiesen; jedoch ohne Erfolg. “Vor zwei Monaten wurde dann der für die Deutsche Telekom zuständige Beauftragte für Datenschutz auf das Sicherheitsleck hingewiesen. Das Bonner Büro des Datenschutzbeauftragten wies jedoch den Hinweis ab und verweigerte eine Überprüfung”, schreibt das Blatt weiter. (mk)
(
de.internet.com – testticker.de)

Weitere Infos:

Die Datenschleuder