T-Hack Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos Computer Clubs in seiner aktuellen Ausgabe.
Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft, die in enger Partnerschaft mit der Telekom dieses System aufgesetzt haben) vergleichbar. Es regelt Benutzer- und Benutzerrechteverwaltung konzernweit. Auf ihm bauen die Deutsche Telekom AG und ihre Töchter zur Zeit diverse Netzdienstleistungen auf.
Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen Austauschen einer Kundennummer in einer Webadresse) auf fremde Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten erhalten kann, ohne dafür legitimiert zu sein.
Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des Autors Dirk Heringhaus unter http://ds.ccc.de/083/obsoc. Hintergrundmaterial und begleitende Berichterstattung sind unter www.ccc.de/t-hack nachzulesen.
Weiterführende Informationen
www.ccc.de/t-hack
http://ds.ccc.de/083/obsoc
Kommentare sind geschlossen.