GTCom bestätigt Sicherheitslücke bei SIM-Karten-Tauschaktion (Update)
GTCom bestätigt Sicherheitslücke bei SIM-Karten-Tauschaktion
Bild: GTCom / Screenshot: teltarif.de
Die in den vergangenen Tagen gestartete SIM-Karten-Tauschaktion bei den Mobilfunkmarken von GTCom könnte ein schwerwiegendes Sicherheitsrisiko beinhalten. Bei der derzeitigen Ausgestaltung der Sache könnten Angreifer sich SIM-Karten von GTCom-Nutzern zusenden lassen. Gegenüber teltarif.de bestätigte ein Sprecher das Problem, gab sich aber gleichzeitig sorglos.
In einer ersten Meldung haben wir die Hintergründe erläutert und Spekulationen über den Grund des SIM-Karten-Tauschs angestellt. Auch hierbei konnte uns der Mitarbeiter zu einigen - aber nicht allen - Fragen eine Auskunft geben.
Nutzerinformationen im Klartext lesbar
GTCom bestätigt Sicherheitslücke bei SIM-Karten-Tauschaktion
Bild: GTCom / Screenshot: teltarif.de
In unserer ersten Meldung hatten wir das Verfahren erläutert, nach dem GTCom für die Mobilfunkmarken den SIM-Kartenwechsel vornimmt. In der an die Teilnehmer verschickten SMS befindet sich ein Link auf die Seite neuesimkarte.gtcom-partner.de
[Link entfernt]
, die zu gtcom-gtcomcis.rhcloud.com/neuesimkarte/
[Link entfernt]
umleitet. Auf dieser Seite befindet sich im übrigen auch kein Impressum.
Ursprünglich hatte GTCom damit gerechnet, dass dieser Link, der für alle Internetnutzer ohne Passwortschutz erreichbar ist, nur den Kunden bekannt ist und nur von diesen genutzt wird. Dass dieser vielleicht in Internet-Diskussionsforen oder auf redaktionellen Webseiten wie teltarif.de veröffentlicht werden könnte, damit habe das Unternehmen nicht gerechnet, räumte der Sprecher ein.
Um an einen Teil der persönlichen Daten zu kommen, muss der Angreifer nur die Handy-Nummer, den Nachnamen des Nutzers und die Marke des Mobilfunkangebots kennen und diese Daten auf der Seite eingeben. Kennt der Angreifer die Marke nicht, kann er die lediglich acht Optionen einfach durchprobieren. Dann erscheint ein Popup, in dem Anrede, Vorname, Nachname, E-Mail und die Telefonnummer des Kunden im Klartext zu lesen sind. Nun muss der Angreifer nur noch das Geburtsdatum des Kunden wissen. Dann kann er eine beliebige Adresse eintragen, an die die neue SIM-Karte gesandt wird.
SIM-Karte an jede beliebige Adresse senden
Auf die Frage an den GTCom-Mitarbeiter, warum denn nicht zwingend das Passwort für den Kundenaccount - beispielsweise bei GALERIAmobil - abgefragt werde, antwortete der Mitarbeiter, man habe ein "einfach nutzbares System aufsetzen" wollen, das auch von der "Zielgruppe über 35" bedient werden könne. Man habe einen Weg finden wollen, um technisch eher unbedarften Kunden keine Hürden in den Weg zu legen.
Der Mitarbeiter führte weiter aus, dass viele Kunden ihren Account vielleicht ja schon "vor vielen Jahren" angelegt hätten und dann oft das Passwort nicht mehr wüssten. Manche Nutzer, die ihre SIM im Laden gekauft hätten, wüssten vielleicht gar nicht mehr, dass es da so einen Online-Account gebe. Viele Nutzer würden neue Optionen ohnehin über einen Anruf bei der Hotline buchen. Das Unternehmen versprach aber nach unserem Hinweis, sich das Prozedere beim SIM-Kartentausch noch einmal anzusehen.
Kein Netzwechsel und neue Tarife Ende März
Auf unsere Nachfrage konnte uns der Mitarbeiter von GTCom versichern, dass beim SIM-Kartentausch kein Netzwechsel stattfindet, Kunden würden weiterhin im virtuellen Netz von GTCom, das an die Sendemasten von E-Plus angebunden ist, telefonieren. Die Frage, ob das Netzroaming im o2-Netz möglich sein wird, konnte der Mitarbeiter nicht mit Bestimmtheit beantworten, er ging aber davon aus, dass dies möglich sein sollte.
Als wir Details zu den neuen Tarifen wissen wollten, vertröstete man uns auf Ende März - dann würden die neuen Konditionen feststehen. Realistisch heißt das, dass Kunden von GTCom momentan einen Tausch der SIM-Karte und einen Tarifwechsel erleben, ohne dass sie die genauen - vielleicht in Teilen ungünstigeren - Tarifkonditionen kennen und ohne dass sie diesem Prozedere widersprechen können. Bekannt ist nur, dass bei GALERIAmobil Gesprächsminuten, SMS und Daten-MB einheitlich 5 Cent kosten werden. Die neuen Konditionen sollen teltarif.de dann für eine weitere Berichterstattung und Aufnahme in die Tarifdatenbank zugesandt werden.
Fazit: Prozedere zur Adressbestätigung möglichst schnell durchführen
Kunden von GTCom haben momentan keinerlei Möglichkeit, dem Missbrauch ihrer Daten über die oben beschriebene Lücke zu entgehen. Etwas minimieren lässt sich die Gefahr dadurch, dass man das Prozedere mit der Bestätigung der eigenen Adresse möglichst umgehend durchführt. Denn dann ist eine Wiederholung des Vorgangs nicht mehr möglich und es werden auch keine persönlichen Daten mehr angezeigt.
Hat allerdings ein Angreifer die Prozedur zuvor durchgeführt, besteht die Gefahr, dass die SIM-Karte beim Angreifer landet und dass dieser damit Schindluder treibt. Der Mitarbeiter von GTCom versprach für diesen Fall, dass dem Kunden "keine Kosten entstehen" sollen und dass man die falsch zugestellte SIM sperren und für den Kunden eine neue Nummer vergeben könne. Man sei aber relativ sicher, dass dieser Fall nicht oft vorkommen werde.
Update 10.03., 15:20 Uhr: GTCom nimmt unsichere Seite vom Netz
Nach dem Aufdecken der oben beschriebenen Sicherheitslücke durch teltarif.de hat GTCom die Seite mittlerweile geändert. Die oben erwähnte Webseite, deren URL per SMS verschickt wird, ist zwar noch erreichbar, Kunden können allerdings dort keine Daten mehr eingeben.