Die Deutsche Telekom hat nach Recherchen von ZDNet ein Datenschutzleck auf ihrer Site: Wer Telefon- und Kontonummer von Telekom-Kunden kennt, kann mit diesen Daten nicht nur ohne Probleme die Kundennummer samt Adresse ermitteln, sondern auch Zusatztarife im Namen des Kunden bestellen. Außerdem ist es möglich, die aktuelle Anschlussart einzusehen.
Wer bei T-Com Zusatztarife buchen will, muss sich lediglich mit Vorwahl, Rufnummer und Kontonummer legitimieren. Wer im Besitz dieser Daten ist, die sich beispielsweise auf Briefbögen finden oder bei fast allen Online-Auktionen ausgetauscht werden, erhält Einblick in die Kundendaten und kann obendrein weitere Tarife ordern oder auch die Rechnung vom Post-Versand auf online umstellen. Für die Einsicht der Online-Rechnung ist jedoch nach wie vor der Zugang mit Benutzername und Kennwort nötig.
Die Eingabe von Telefon- und Kontonummer genügt, um Zusatztarife zu bestellen und Adressdaten zu ermitteln. (Screenshot: ZDNet).
Besonders prekär: Der Kunde kann eine automatische E-Mail-Bestätigung über Auftragseingang und Auftragsstatus per Klick abwählen. Die Buchung der Zusatztarife kann die monatliche Rechnung um einen deutlich zweistelligen Euro-Betrag erhöhen.
Bei der Telekom hingegen gibt man sich gelassen: Die Legitimation per Rufnummer und Bankverbindung sei „auf ausdrücklichen Kundenwunsch“ in den Web-Auftritt aufgenommen worden und sei „mit dem Datenschutz abgestimmt“, erklärte Telekom-Sprecher Walter Genz gegenüber ZDNet. Man wolle hier kundenfreundlich agieren: „Nicht jeder hat immer seine Kundennumer dabei, wenn er einen neuen Tarif ordern möchte, deshalb ist die Legitimation auch per Kontonummer möglich“, so Genz. Diese sei ohnehin nur für Privatkunden möglich, außerdem würde jede Bestellung eines Tarifs per Post nochmals bestätigt. Hier könne der Kunde auch einen Widerspruch einlegen.
Durch die Legitimation per Telefon- und Konto-Nummer lässt sich an einer weiteren Stelle jedoch auch die Anschluss-Art des Kunden (also analog, ISDN sowie der DSL-Tarif) einsehen. Dort ist es auch möglich, einen anderen T-Online-Tarif, einen höheren DSL-Tarif oder ein Sicherheitspaket für den Telefonanschluss zu buchen. Theoretisch könnten somit Konkurrenten der Telekom, die Rufnummer und Bankverbindung des Kunden kennen, dessen DSL-Tarife ausspähen und ihm Gegenangebote machen. Dies bezeichnet die Telekom gegenüber ZDNet jedoch als „an den Haaren herbeigezogen“.
Ein weiteres Problem: Selbst die Adressdaten von Kunden, die nicht im Telefonbuch stehen, können mit Eingabe von Telefonnummer und Bankverbindung ausfindig gemacht werden. Dies dürfte beispielsweise bei Personen, die sich von ihrem Partner getrennt haben und danach lokal umgezogen sind, aber ihre alte Rufnummer behalten haben, für wenig Begeisterung sorgen.
Das Problem ist unter anderem deshalb akut, weil die Telekom in wenigen Tagen neue Zusatztarife einführt und diese ab sofort online bestellt werden können. Diese Tarife werden samt Bestellmöglichkeit auf der Site der T-Com groß beworben.
Die jetzt entdeckte Lücke ist aber nicht nur ein Problem für den Kunden, sondern auch für die Telekom selbst: Verträge, die mit leicht fingierbaren Logins abgeschlossen werden, stehen auf wackligen Füßen: „Die Beweislast liegt bei der Telekom: Sie muss nachweisen, dass der jeweilige Kunde sich hier auch selbst angemeldet hat“, erklärt der Rostocker Rechtsanwalt Johannes Richard auf Nachfrage von ZDNet. Selbst eine Anmeldung mit Benutzername und Passwort reiche oft nicht aus. Wenn dies obendrein mit leicht zu ermittelnden Daten wie Telefon- und Kontonummer des Kunden geschieht, hat dieser eine noch größere Chance, den Vertrag anzufechten.
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…