diff options
Diffstat (limited to 'updates')
| -rw-r--r-- | updates/2004/obsoc_update.md | 66 |
1 files changed, 66 insertions, 0 deletions
diff --git a/updates/2004/obsoc_update.md b/updates/2004/obsoc_update.md new file mode 100644 index 00000000..53e49c43 --- /dev/null +++ b/updates/2004/obsoc_update.md | |||
| @@ -0,0 +1,66 @@ | |||
| 1 | title: Antwort auf die Stellungnahme der Telekom | ||
| 2 | date: 2004-07-27 00:00:00 | ||
| 3 | updated: 2009-04-18 19:07:43 | ||
| 4 | author: erdgeist | ||
| 5 | tags: update | ||
| 6 | |||
| 7 | |||
| 8 | Die Deutsche Telekom AG hat mit einer Stellungnahme auf die Bitte des CCC reagiert, ihre Kunden auf die Sicherheitsprobleme in ihrem | ||
| 9 | Verwaltungsframework OBSOC hinzuweisen. Weiterhin wird "die gesamte Plattform [...] einem zusätzlichen intensiven Sicherheitscheck" | ||
| 10 | unterworfen. | ||
| 11 | |||
| 12 | |||
| 13 | <!-- TEASER_END --> | ||
| 14 | |||
| 15 | In der morgigen (28. Juli 2004) Presseerklärung weist die Deutsche | ||
| 16 | Telekom ebenfalls darauf hin, dass die kompromittierten | ||
| 17 | Administratorenkennwörter und die "theoretisch" betroffenen | ||
| 18 | Kundenpasswörter ausgetauscht werden. Der Chaos Computer Club begrüßt | ||
| 19 | die Rückrufaktion und hofft, der Telekom zu 250.000 zufriedeneren Kunden | ||
| 20 | verholfen zu haben. | ||
| 21 | |||
| 22 | Der ausgiebige Gebrauch des Konjunktiv im Kontext "mitgelesene emails" | ||
| 23 | bleibt der Redaktion "Die Datenschleuder" jedoch genauso schleierhaft | ||
| 24 | wie das bewusste Aussparen weiterer auf OBSOC aufsetzender Dienste wie | ||
| 25 | "Brainloop" und "T-Pay". Volker Birk vom Chaos Computer Club befürchtet | ||
| 26 | zudem, daß "die völlig ungeschützten Kennwörter nicht einem Hacker, | ||
| 27 | sondern MINDESTENS einem Hacker bekannt geworden sind". | ||
| 28 | |||
| 29 | Eine Stellungnahme des Landesbeauftragten für Datenschutz Frankfurer ist | ||
| 30 | bislang noch nicht eingegangen. | ||
| 31 | |||
| 32 | ` =============== 8< ================== ` | ||
| 33 | |||
| 34 | Die Stellungnahme der Deutschen Telekom AG: | ||
| 35 | |||
| 36 | Die Deutsche Telekom ist durch eine Veröffenlichung auf | ||
| 37 | Sicherheitsmängel auf einer speziellen Online-Bestellplattform und den | ||
| 38 | damit in Verbindung stehenden Datenbanken für Vertragsdaten, | ||
| 39 | Produktdaten und Bestellchronologie hingewiesen worden. Darauf wurden | ||
| 40 | die Eingangstore dieser Plattform geschlossen und ein Sicherheitscheck | ||
| 41 | initiiert. | ||
| 42 | |||
| 43 | Neben der Schließung des Internetzugangs wurde auch eine Sperrung von | ||
| 44 | Administrationsrechten vorgenommen, weil offenbar Passworte einem Hacker | ||
| 45 | bekannt geworden sind. | ||
| 46 | |||
| 47 | Unter Verwendung dieser gehackten Passwörter hätten Web-Auftritte und | ||
| 48 | damit zusammenhängende Dienste (z.B. Bestellung zusätzlichen | ||
| 49 | Speicherplatzes) verändert werden können, aber keine externen | ||
| 50 | Bestellvorgänge oder Rechnungsdaten. Mit den gehackten Passwörtern | ||
| 51 | hätten auf dieser Plattform auch e-mails mitgelesen werden können. Es | ||
| 52 | geht nur um diesen abgetrennten Bereich - die Bestellplattform OBSOC | ||
| 53 | (Online Business Service Operation Center) - über die Kunden Webseiten | ||
| 54 | bestellen und selbst verwalten können. | ||
| 55 | |||
| 56 | Theoretisch betroffen sind rund 250.000 Kunden. Wir werden diese Kunden | ||
| 57 | informieren und - sofern notwendig - ihre Zugangskennung entsprechend | ||
| 58 | verändern lassen. | ||
| 59 | |||
| 60 | Die übrigen Dienste der Deutschen Telekom wie z.B. bei T-Com T-DSL, ISDN | ||
| 61 | oder Rechnung Online oder Dienste der T-Online wie e-mails und | ||
| 62 | Online-Banking sind keinesfalls betroffen. | ||
| 63 | |||
| 64 | Interne Spezialisten unterziehen die gesamte Plattform über die | ||
| 65 | Routinemaßnahmen hinaus derzeit einem zusätzlichen intensiven | ||
| 66 | Sicherheitscheck. | ||