140106

Experten: Hilton-Hack durch Lücken bei T-Mobile ermöglicht

02.03.2005 | 10:37 Uhr |

Vor wenigen Tagen wurde bekannt, dass der T-Mobile-Account der Hotelerbin Paris Hilton gehackt wurde. Private Daten und Fotos der Dame kursierten daraufhin in Windeseile durchs Netz. Es gibt eine Reihe von Spekulationen, wie der Hack durchgeführt wurde, eine davon betrifft T-Mobile selbst. Experten zufolge weist die Website des Unternehmens massive Sicherheitslücken auf.

Der Hack des T-Mobile -Accounts von Paris Hilton ( wir berichteten ) könnte möglicherweise durch eine massive Sicherheitslücke auf der Website des Unternehmens ermöglicht worden sein. Diese betrifft die Funktion, ein Passwort für einen Account zurückzusetzen, berichten unsere Kollegen des IDG News Service.

Eine erste Theorie, wie es zu dem Hack kommen konnte, besagte, dass die Daten eine Art Abfallprodukt eines im Jahr 2003 stattgefundenen Einbruchs in die T-Mobile-Server seien. Genau um diesen Einbruch ging es in einem Beitrag vom 17. Februar diesen Jahres von Jack Koziol, der sich in seinem Blog mit den technischen Hintergründen beschäftigte. Koziol, Senior Instructor beim Infosec Institut, diskutierte die Strategie des damalige Hackers, Nicolas Jacobsen, beim Einruch in die T-Mobile-Server. Dabei kam auch zur Sprache, dass der Hack des Accounts von Paris Hilton damit zusammen hängen könnte.

Koziol nahm an, dass Jacobsen mit Hilfe einer so genannten "SQL-Injection" die T-Mobile-Server kompromittiert hat und so Zugriff auf Daten Dritter erhalten hat. Bei dieser Art von Angriff werden an die Suche einer SQL-Datenbank bestimmte Kommandos gesendet, die in der Folge Manipulationen der Datenbank ermöglichen.

Am 19. Februar erhielt Koziol eine Mail, die einen Exploit enthielt, mit dem nahezu jede Person über die Website von T-Mobile Zugriff auf einen fremden T-Mobile-Account erhalten konnte. Hierfür musste der Angreifer lediglich die T-Mobile-Telefonnummer des jeweiligen Nutzers kennen. Am 20. Februar erschienen die Inhalte von Paris Hiltons Adressbuch im Internet.

Der in der Mail dargelegte Exploit beschrieb eine Lücke in der Passwort-Reset-Funktion auf der Website von T-Mobile. Besucher, die in Besitz einer gültigen Telefonnummer sind, können diese Funktion nutzen, um einen Zahlencode zu erhalten, um ihr Passwort zurückzusetzen. Eine Lücke in dieser Funktion erlaubt es Anwendern, die die URL der Passwort-Reset-Seite kennen, die Authentifizierungs-Site zu umgehen und direkt Passwörter zu ändern, ohne Informationen eingeben zu müssen, die ihn/sie als legitimen Eigentümer des Accounts ausweisen, so Koziol.

"Es ist ein Session-Management-Problem. (T-Mobile) versagt dabei, nachzuverfolgen, wo die Anwender sich gerade befinden", so Koziol. "Es ist keine weltbewegende Sicherheitslücke, die einen Doktorgrad benötigt, um sie herauszufinden. Es ist etwas, was bereits Kinder können."

0 Kommentare zu diesem Artikel
140106