T-Mobile Austria sorgt mit Aussage über Passwort-Sicherheit für Lacher

Ein unbedachter Beitrag in den sozialen Medien, ein wenig zu viel Offen- und Ehrlichkeit und schwupps - ist das mühsam aufgebaute Vertrauen in die Sicherheitsmechanismen eines Unternehmens dahin. So passiert ist das jetzt T-Mobile Österreich. mehr... Logo, Deutsche Telekom, Telekom, Flagge, Telekommunikationsunternehmen Bildquelle: Telekom Logo, Deutsche Telekom, Telekom, Flagge, Telekommunikationsunternehmen Logo, Deutsche Telekom, Telekom, Flagge, Telekommunikationsunternehmen Telekom

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wenn die Frage erlaubt ist, wozu müssen sie die ersten Buchstaben überhaupt sehen?
 
@crmsnrzl: Möglicherweise gibt es den "Service", den Kunden, die ihr Passwort vergessen haben, ein wenig auf die Sprüge zu helfen, indem man ihnen mitteilt, wie die ersten Buchstaben lauten. Sollte das der Fall sein, wäre das natürlich völlig inakzeptabel.
 
@Sven68: Nein! Völlig akzeptal ist das nicht. Ich möchte nicht, dass irgendwo auch nur ein Teil meines Passworts im Klartext steht. Ich möchte zumindest darauf hingewiesen werden.
 
@FatEric: Schon klar, deshalb habe ich ja "völlig inakzeptabel" geschrieben. :)
 
@Sven68: Ich könnte mir vorstellen, dass es Teil des Authorisierungsprozesses am Telefon ist. So nennt man Name, Kundennummer, Geburtsdatum, Anschrift und zur Sicherheit die ersten 4 Zeichen des Passworts.
Sicher kann man das besser lösen. Aber den genauen Grund kann ich natürlich auch nur mutmaßen.
 
@Scaver: Ja, das ist auch der Grund. War zwar noch nie T-Mobile Kunde aber bei Drei und A1 ging das auch immer. Wusste man beim Passwort nicht weiter, gaben sie einem immer einen Tipp. Deswegen bin ich selber auch so erstaunt, warum dass ganze erst jetzt so etwas auslöst. Ich weiß natürlich nicht ob es bei den anderen Betreibern noch geht, aber dass war Jahrelang Standard. (Was es natürlich nicht besser macht)
Ich muss auch ehrlich sagen, ist mir das Passwort was ich beim Provider habe noch das unwichtigste Element, da ich sowieso dort ein eigenes habe. Viel mehr machen mir Name, Adresse und Kontonummer sorgen.
 
@crmsnrzl: Ein Kunde hat das Recht, Auskunft über seine gespeicherten Daten zu erhalten. Er hat auch das Recht, diese Daten löschen zu lassen. Gleichzeitig sind die Betreiber dazu verpflichtet, bei solchen Auskunfts- bzw. Löschanfragen die Identität sicherzustellen. Die Mailadresse allein reicht dazu nicht wirklich. Teile des Passworts reichen da rechtlich gesehen wahrscheinlich schon eher.
So wirklich toll finde ich das aber auch nicht.
 
@TiKu: Natürlich würde eine eMailadresse ausreichen. Zumindest um einen Link zu verschicken, um dann auf der Seite von T-Mobile sein Passwort einzutippen um so seine Identität zu bestätigen. Bei O2 gabs ja mal eine 4 stellige PIN, die man sich als kundenpasswort ausdenken konnte. Bei der Telekom wars mal ein selbst ausgedachtes normales sprechendes Passwort. Das haben aber wohl viele einfach dann vergessen.
 
@TiKu: Noch nie wurde ich beim Löschen meines Accounts nach einem halben Passwort gefragt.
 
@crmsnrzl: Das ist eigentlich gängige Praxis, um den Anrufer zu authentifizieren. Es ist nur etwas mau umgesetzt und vor allem extrem schlecht kommuniziert.
 
@xploit: In dem Fall, bin ich froh, mit denen nichts zu tun zu haben.
 
@xploit: Gängige Praxis eher nicht würde ich sagen. Zumindest nicht bei ePlus (als es die noch gab) und bei Vodafone (DSL sowie Mobilfunksparte). Dort gibt es Servicepasswörter, die man beim "Kunde werden" mit festlegen muss und die zB dann beim Telefonsupport abgefragt werden. Und das ist vollkommen unabhängig vom Login-Passwort.
 
@Joyrider: Nichts anderes wiedergegeben, als in meinem Kommentar steht, nur mit anderen Worten. Danke.
 
Viel interessanter hier ist eigentlich das anscheinend gleich mehrere Blogs von T-Mobile aufgemacht wurden da sie ihr .git/config auf den Webservern hatten wo man den kompletten Wordpress code inklusive config zur DB clonen konnte... (die natürlich von außen erreichbar war). Auch wurde eine PHPInfo direkt am Server von T-Mobile gefunden wo drinnen steht das sie auf PHP 5.1.6 laufen das am 13.7.2011 gebuilded wurde... also anscheinend keine Sicherheitsupdates in den letzten 6 Jahren :)
 
@ba77osai: das problem hierbei ist wohl, dass die Agentur die vor 6 Jahren die Seite gemacht hat und vermutlich noch immer betreut gepfuscht hat.
 
Etwas OT, aber mit der Telekom hat es etwas zu tun: Es wird ca. 2006 gewesen sein, da war ein Freund mit seinem PC bei mir. Er wollte sich auf sein T-Online email Konto einloggen. Das Postfach kam ihm aber fremd vor, auch die emails sagten ihm nichts. Ich stand auf, ging zu ihm rüber und stellte fest, dass es mein Postfach war. Auf seinem PC existierten lediglich seine Anmeldedaten, ich habe mich noch nie über seinen PC eingeloggt. Das ganze war auch reproduzierbar. Sowas hätte doch auch damals einfach nicht passieren dürfen.
 
Allein die Tatsache, dass die Mitarbeiter ein paar Buchstaben im Klartext sehen, bedeutet, dass T-Mobile die Passwörter irgendwo (verschlüsselt) im Klartext speichert, und wieder entschlüsseln kann. Normalerweise speichert man die Hashes.
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:15 Uhr IWAVION Quick Charge 3.0 USB Ladegerät mit USB Type C Ladekabel, 30W QC 3.0 ladegeraet mit 4 Ports Schnellladegerät USB Netzteil für Samsung Galaxy S10/S9/S8/Note,LG V30,Huawei P20/P30,XiaoMiIWAVION Quick Charge 3.0 USB Ladegerät mit USB Type C Ladekabel, 30W QC 3.0 ladegeraet mit 4 Ports Schnellladegerät USB Netzteil für Samsung Galaxy S10/S9/S8/Note,LG V30,Huawei P20/P30,XiaoMi
Original Amazon-Preis
13,99
Im Preisvergleich ab
?
Blitzangebot-Preis
11,89
Ersparnis zu Amazon 15% oder 2,10