27.11.2000

"STERNDRÜCKER"

Bildquelle: Photodisc

Bis zu 250.000 One-Mailboxen sind abhörbar

"Wir haben dem Kunden immer kommuniziert, dass er sein Passwort ändern kann", sagt Alexandra Schreiber, Pressesprecherin von One.

Bis ins erste Halbjahr 1999 sei es allerdings möglich gewesen, das Konfigurationsmenü der One-Mailbox mit der Sterntaste zu überspringen. Dies könnte der Hauptgrund sein, warum es eine so hohe Anzahl an ungesicherten Mailboxen gebe, so Schreiber am Montagmittag zur FutureZone.

Den "Sterndrückern" und allen besorgten Kunden rät One dringend, das Passwort im Menüpunkt "Einstellungen" der Mailbox zu ändern. Man werde sich außerdem direkt an alle One-Kunden wenden, um diese Sicherheitslücke zu beseitigen.

Zwischen 15 und 25 Prozent
Ganz offenbar wissen zwischen fünfzehn und fünfundzwanzig Prozent der One-Kunden nicht, dass ihre Mailbox von jedem abgehört werden kann, der das Masterpasswort im One-Netz kennt. In harten Zahlen ausgedrückt sind dies zwischen 150.000 und 250.0000 Anschlüsse.

Auch max verwendet Einheitspasswort

Kundenfreundlickeit und Sicherheit

Wie eine Serie von Stichproben der FutureZone ergeben hat, sind bis zu ein Viertel aller Sprachmailboxen des Betreibers One von Dritten beliebig abhör- und manipulierbar.

Dazu sind keinerlei Kenntnisse im Telefon-Hacking [phreaking] erforderlich, das Wissen eines vierstelligen Standardpassworts genügt.

Anders als etwa die Mobilkom, die dazu die letzten vier Ziffern aus dem jeweils individuell vergebenen PUK1-Code benützt, setzt One bei allen Kunden dasselbe Standardpasswort für die Sprachmailbox.

Eine Methode, die aus Gründen der "Kundenfreundlichkeit" auch bei max zur Anwendung kommt [siehe Link]

Private, Firmen, Konsulate

Bei den FuZo-Stichproben nach dem Zufallsprinzip erwiesen sich neben jenen von Privatpersonen überraschend viele Mailboxen von Firmen und sogar die eines Konsulats als ungesichert und damit abhörbar.

So funktioniert ein "Hack", der keiner ist, sondern ein strukturelles Sicherheitsproblem: direktes Anwählen der betreffenden One-Mailbox mit "06993..." [statt "06991..."].

Wenn nach Melden der Ansage ein wirklich sehr einfach gehaltener vierstelliger Code mit Stern und Raute [*....#] eingegeben wird, stehen dem Eindringling alle Features der Mailbox offen, sofern der Eigentümer sein Passwort nicht geändert hat.

Neben dem Lauschangriff auf fremde Botschaften gibt es alle Möglichkeiten der Manipulation am Mailboxsystem, die dem Eigentümer zur Verfügung stehen. Es können sogar Voice-Mails unter seinem Namen und auf seine Kosten verschickt werden. Desgleichen kann das Passwort für die Mailbox geändert werden, ohne dass es der Eigentümer merkt.

Der Mailbox-Ausrüster Comverse