Bericht: Aldi Talk speichert Passwort-Teile unsicher ab
Sicherheitslücke bei Aldi Talk
Logo: Aldi, Grafik/Montage: teltarif.de
Der Prepaid-Discounter Aldi Talk erfreut sich einer großen Beliebtheit. Das im Mobilfunknetz der Telefónica realisierte Produkt bietet günstige Preise. Dabei müssen die Kunden nicht auf den Zugang zum LTE-Netz verzichten. Auch Telefonate über 4G und WLAN sind möglich, was die Prepaid-Marken im Telefónica-Netz derzeit von ihren Mitbewerbern im Telekom- und Vodafone-Netz abhebt.
Mit der Datensicherheit nimmt es der Discounter einem Golem-Bericht zufolge offenbar nicht ganz so genau. Den Angaben zufolge werden nämlich Teile des persönlichen Passworts im Klartext gespeichert. Das sei aufgefallen, indem ein Kunde die Hotline anrief und der Mitarbeiter am Telefon darum bat, die ersten vier Buchstaben des Kennworts zu nennen. Das wiederum macht nur dann Sinn, wenn die Kundenbetreuung auf diese Daten auch zugreifen kann.
Telefónica: Vollständige Passwörter gehasht gespeichert
Sicherheitslücke bei Aldi Talk
Logo: Aldi, Grafik/Montage: teltarif.de
Liegen die Kunden-Passwörter möglicherweise sogar komplett ungeschützt auf Servern von Telefónica, das für Medion das Aldi-Talk-Produkt betreut? Das ist nach Angaben der Telefónica-Pressestelle nicht der Fall. Auf die erste Nachfrage der Kollegen sprach der Netzbetreiber davon, die Passwörter seien verschlüsselt gespeichert. Auch diese Variante bietet allerdings nicht die bestmögliche Sicherheit.
Später korrigierte sich Telefónica: Die vollständigen Passwörter werden demnach gehasht gespeichert. Das hat dem Bericht zufolge den Vorteil, dass es selbst dann, wenn ein Angreifer sich unberechtigten Zugriff auf die Datenbank verschafft, nahezu unmöglich wäre, an die Login-Informationen zu kommen. Der Vorgang sei - falls überhaupt möglich - sehr rechenaufwändig und bei längeren Passwörtern praktisch nicht durchführbar.
Hotline hat Zugriff auf Passwort-Teile
Wie es weiter heißt, räumte der Netzbetreiber aber auch ein, dass die ersten vier Buchstaben der Kunden-Passwörter für die Service-Hotline separat abgelegt werden. Die Pressestelle bestätigte demnach entsprechende Kunden-Berichte. Unproblematisch ist diese Vorgehensweise nicht, denn es ist nicht ausgeschlossen, aus den ersten Buchstaben Rückschlüsse auf das gesamte Kennwort zu ziehen.
Aldi-Talk-Kunden sei empfohlen, ein möglichst langes Passwort auszuwählen, um die Gefahr, dass sich Unberechtigte Zugriff zu den Daten zur Prepaidkarte verschaffen, so gering wie möglich zu halten. In einer weiteren Meldung berichten wir darüber, wie Aldi Talk die Nutzung der Kunden-App derzeit mit zusätzlichem Datenvolumen belohnt.