Deutsche Telekom: Mutmaßliches Datenleck ermöglicht Komplettzugriff auf WhatsApp

Quelle: Deutsche Telekom Pressebilder telekom.com/de/medien

• Hacker verschaffen sich bei Telekom-Kunden Zugriff auf WhatsApp-Accounts
• Zugriff auf WhatsApp-Chatverlauf, Kontaktdaten und Medien möglich
• Sicherheitslücke oder Datenleck? Telekom Mailbox wohl Einfallstor, um WhatsApp-Account zu kapern – selbst wenn Mailbox nicht genutzt wird

Update vom 24. August 12:28 Uhr:
Weitere Informationen der Deutsche Telekom in einer ersten Stellungnahme

Update vom 10. September 17:55 Uhr:
WhatsApp führt eine Verschlüsselung des Backups ein

Update vom 13. September 18:13 Uhr:
Frageliste an die Deutsche Telekom

Screenshot des gehackten iPhones: Rufweiterleitung auf Telekom Mailbox wurde aktiviert. Quelle: IMMO.info.

Über die Telekom Mailbox haben Angreifer die Rufweiterleitung eingerichtet, so dass alle Anrufe auf die Mailbox – auch Voicemail oder Anrufbeantworter genannt – umgeleitet werden. Die Rufweiterleitung kann jedermann, oder ein Bot, über das Sprachmenü der Telekom Mailbox einrichten: Option Taste “7“ drücken: „Rufumleitungen einstellen“. Der Telekom-Kunde muss die Mailbox nicht aktiv genutzt haben.

Screenshot des gehackten iPhones: Informations-SMS zur Übernahme des WhatsApp Accounts. Quelle: IMMO.info.

Gegenüber WhatsApp gibt der Hacker die Rufnummer des zu übernehmenden WhatsApp Accounts an. Als Verifikation gibt es seitens WhatsApp die Option „Anrufen lassen“. Hierbei wird der WhatsApp PIN-Code telefonisch durchgesagt und nicht per SMS zugeschickt. Durch diese Option ist es nicht mehr notwendig, die SMS abzufangen.

Screenshot des gehackten iPhones: Ansicht der Mailbox (visual Voicemail). Quelle: IMMO.info.

Über die Telekom Mailbox kann der Angreifer den PIN Code zur Übernahme des WhatsApp Accounts abhören oder diesen automatisiert über Voice-to-Text auslesen lassen.

Viele User archivieren den Chatverlauf von WhatsApp. Enthalten sind nicht nur die Kontaktdaten. Der Hacker hat Zugriff auf alle persönlichen Nachrichten und Fotos und je nach Einstellung sogar die Videos, die über WhatsApp verschickt wurden. Auffällig ist zudem, dass der WhatsApp-Status nach Kapern des Accounts in indonesischer Sprache erscheint. Das liegt nahe, dass der Hackerangriff aus Indonesien erfolgt ist.

Über eine kriminelle Nutzung der Inhalte ist bei den vorliegenden Fällen noch nichts bekannt – dazu sind diese noch zu aktuell. Wir halten Sie auf dem Laufenden.

Alle uns vorliegenden Telekom Kunden hatten die Telekom Mailbox zuvor nicht genutzt.

Für den Zugriff auf die Telekom Mailbox von extern reicht es, die Handynummer zu kennen, sowie die SIM-Kartennummer. Die letzten vier Stellen der SIM-Karte entsprechen dem Standard PIN-Code für die Mailbox. Damit kann jeder von extern Zugriff auf die Telekom Mailbox erhalten, obwohl diese noch nie genutzt oder eingerichtet wurde. Eine entsprechende Anleitung kann man dem Telekom Hilfe-Bereich  entnehmen. Ein vierstelliger PIN ist nicht sicher. In den IMMO.info vorliegenden Fällen wurden alle Mailboxen in der Nacht vom 23. August zeitgleich angegriffen. Die Kunden hatten keinerlei Daten, wie beispielsweise SIM-Kartennummern, preisgegeben und nutzen in allen Anwendungen individuelle und sichere Passwörter.

Unsere Vermutungen (Update: 24.08.2021, 12:52):

• Brute-Force-Angriff: Mittels einem sogenannten Brute-Force-Angriff versucht der Angreifer durch eine Software die Mailbox PIN zu erraten. Die Mailbox PIN der Deutschen Telekom ist nicht sicher. Es gibt maximal 10000 Kombinationsmöglichkeiten und somit ein leichtes Spiel für eine automatisierte Brute-Force-Attacke. Wie einfach so ein Angriff ist, wird in einem Blog-Beitrag aus 2018  des Facebook Security Engineers Martin Vigo anschaulich erläutert.
• Datenleck: Es wurden Handynummern samt SIM-Kartennummer deutscher Telekom Kunden entwendet. Auffällig ist ein zeitlicher Zusammenhang mit dem vor wenigen Tagen bekannt gewordenen Datenleck der Telekom in den USA. Dieser Kausal-Zusammenhang wird einer Stellungnahme der Deutschen Telekom jedoch ausgeschlossen.

Auch wenn sich diese Vermutungen nicht bestätigen sollten: Aus unserer Sicht besteht ein ernstes Sicherheitsthema bei der Deutschen Telekom. Die Voice Mailbox ist ein Einfallstor für Cyberkriminelle. Es fehlt an heutzutage üblichen Sicherheitsmechanismen – beispielsweise eine Kundenbenachrichtigung wenn von extern auf die Mailbox zugegriffen wird. Dieser Hack ist mit einfachen technischen Werkzeugen automatisierbar und skalierbar. Dies ist vor dem Hintergrund sehr kritisch, dass der Mailbox-Zugriff äußerst sicherheitsrelevant ist. Nicht nur WhatsApp, auch zahlreiche andere Dienste ermöglichen eine telefonische Verifikation als Alternative zur SMS.

Die Telekom Mailbox ist bei Telekom Kunden standardmäßig aktiviert. Vielen Nutzern ist gar nicht bewusst, dass sie im Besitz einer Mailbox sind und dass diese ein zusätzliches, potenzielles Sicherheitsrisiko darstellt. Wünschenswert wäre, dass die Mailbox durch den Kunden proaktiv aktiviert werden muss, gleichzeitig mit Vergabe eines neuen, nach aktuellem Stand der Technik sicheren Passworts.

IMMO.info empfiehlt folgende vier Sofort-Maßnahmen zur Absicherung persönlicher Daten:

1. 1. Richten Sie einen mindestens 8-stelligen Mailbox Code ein
   2. Falls Sie gehackt wurden: Rufweiterleitung zur Mailbox löschen
   3. Mailbox durch die Telekom endgültig deaktivieren lassen
   4. Verwenden Sie 2-Faktor-Authentifizierung wo immer möglich

Eine kurzfristig erstellte Anleitung zu den jeweiligen Maßnahmen entnehmen Sie bitte folgendem PDF. Aktualisierungen folgen.

Download PDF-Anleitung mit Sofort-Maßnahmen

In einer Stellungnahme der Deutsche Telekom vom 24. August 12:28 Uhr gegenüber IMMO.info schließt die Deutsche Telekom einen Kausal-Zusammenhang zwischen dem Hacker-Angriff in den USA und Voicemail-Hack aus technischen Gründen aus. Ebenso liegen der Telekom aktuell keine Informationen über einen Zugriff unbefugter Dritter auf eine Datenbank mit SIM-Kartennummern deutscher Kunden vor.

Nach Aussage der Deutschen Telekom sind Expertinnen und Experten des Anti-Missbrauch-Teams aktiv und scannen das gesamte Netz täglich mit speziellen Bots ab, um solche Kundenkonto-Informationen aufzuspüren und den Kunden helfen zu können. Auch Kunden anderer Netzbetreiber und seien diesem Risiko-Szenario ausgesetzt.

Nach Recherchen von IMMO.info fehlen bei der Mailbox-Abfrage zahlreiche Sicherheitsmechanismen, die heutzutage Standard sind. Die Technologie befindet sich nicht mehr auf dem neuesten Stand der Technik und IT-Sicherheit. In einem Test konnte IMMO.info von verschiedenen Anschlüssen zahlreiche PIN-Codes ausprobieren, ohne dass die Mailbox-Abfrage von extern generell gesperrt wurde. Eine Kundeninformation per SMS oder E-Mail, weder über einen externen Mailbox-Zugriff, noch über die Eingabe einer falschen PIN erfolgte nicht.

IMMO.info hat hierzu eine Frageliste an die Deutsche Telekom geschickt. Unter anderem mit folgenden Fragen:

Zugriffsbeschränkungen:

• Gibt es Beschränkungen, wie oft eine Mailbox-PIN falsch eingegeben werden kann, ausgehend von verschiedenen Anschlüssen? Gilt diese Beschänkung über eine ausreichend langen Zeitraum?
• Gibt es Sperren des Zugriffs auf die Mailbox von bestimmter betrugsbekannter Rufnummern oder zum Beispiel aus bestimmtem Ländern oder Regionen mit hohem Potenzial für Fraud?
• Haben Vertriebspartner wie beispielsweise Telekom-Shops oder Callcenter-Mitarbeiter Zugriff auf die SIM-Kartennummer von Bestandskunden?

Automatische Kundenbenachrichtigungen, zum Beispiel SMS oder E-Mail:

• Gibt es eine Kundenbenachrichtigung, wenn von einem externen Anschluss auf die Mailbox zugegriffen wird oder zum Beispiel wenn von extern eine Rufweiterleitung eingerichtet wird?
• In anderen Fällen, zum Beispiel nach Eingabe einer falschen Mailbox-PIN?

Facebook, der Mutterkonzern von WhatsApp, arbeitet an Features zur Verbesserung der Sicherheitsstandards, um beim laufenden Wettrüsten mit Internetkriminellen im Cyberwar standhalten zu können. So hat Facebook am 10. September das neue Sicherheitsfeature E2EE backups bekannt gegeben . Hierbei kann der WhatsApp Nutzer seine Backups anhand eines 64-stelligen Schlüssels verschlüsseln. Es wird empfohlen nach Aktivierung des Backups, WhatsApp beim Backup des Endgeräts auszuklammern.