From 0789d814054fce8ff6a9fa1d1c13ec6fd60cc4d6 Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Tue, 26 Jul 2011 19:46:37 +0000 Subject: committing page revision 2 --- updates/2004/obsoc.md | 25 +++++++++++-------------- 1 file changed, 11 insertions(+), 14 deletions(-) (limited to 'updates') diff --git a/updates/2004/obsoc.md b/updates/2004/obsoc.md index a4b18056..09d59efa 100644 --- a/updates/2004/obsoc.md +++ b/updates/2004/obsoc.md @@ -1,29 +1,26 @@ title: Sicherheitsdesaster im Webangebot der Telekom date: 2004-07-26 00:00:00 -updated: 2009-04-18 19:07:43 +updated: 2011-07-26 19:46:37 author: erdgeist -tags: update +tags: update, t-hack - -Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem -sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher -als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos -Computer Clubs in seiner aktuellen Ausgabe. +Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher als kompromittiert betrachtet werden. Dies berichtet das wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos Computer Clubs in seiner aktuellen Ausgabe. Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es -einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen -Austauschen einer Kundennummer in einer Webadresse) auf fremde -Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger +einem Benutzer erlauben, mit einfachsten Mitteln (wie z. B. dem +einfachen Austauschen einer Kundennummer in einer Webadresse) auf fremde +Kundendaten zuzugreifen. Dadurch wurde es möglich, daß ein beliebiger Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten erhalten kann, ohne dafür legitimiert zu sein. -Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des -Autors Dirk Heringhaus unter . -Hintergrundmaterial und begleitende Berichterstattung sind unter -[http://www.ccc.de/t-hack/](/de/t-hack/) nachzulesen. +Eine detaillierte Dokumentation der Abläufe findet sich im [Artikel des +Autors Dirk +Heringhaus](http://dasalte.ccc.de/t-hack/stn/inhlt/drartkl.htm) +Hintergrundmaterial und begleitende Berichterstattung sind +[hier](http://dasalte.ccc.de/t-hack/) nachzulesen. Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft (die in enger Partnerschaft mit der Telekom dieses System aufgesetzt -- cgit v1.2.3