Aktueller Verbraucherhinweis

Deutsche Telekom: Mutmaßliches Datenleck ermöglicht Komplettzugriff auf WhatsApp

Kriminelle verschaffen sich Zugriff auf Telekom Mailboxen und kapern WhatsApp-Konten mit allen Inhalten. Dem Verbraucherportal IMMO.info liegen mehrere brandaktuelle Fälle von Kunden der Deutsche Telekom vor. Im Gegensatz zu bereits bekannten Fällen, bei denen WhatsApp-Konten gestohlen wurden, hatten die Nutzer keine sensiblen Daten weitergegeben. Hacker haben sich unbemerkt Zugriff mithilfe der Telekom Mailbox verschafft, obwohl die Nutzer diese nicht aktiv genutzt hatten.

Autoren: JV TV Redaktion und Experten | Zuletzt geändert: 13.09.2021
Zuletzt geändert: 13.09.2021
Deutsche Telekom Pressebilder telekom.de Pressestelle WhatsApp Voicemail

Quelle: Deutsche Telekom Pressebilder telekom.com/de/medien

  • Hacker verschaffen sich bei Telekom-Kunden Zugriff auf WhatsApp-Accounts
  • Zugriff auf WhatsApp-Chatverlauf, Kontaktdaten und Medien möglich
  • Sicherheitslücke oder Datenleck? Telekom Mailbox wohl Einfallstor, um WhatsApp-Account zu kapern – selbst wenn Mailbox nicht genutzt wird

Update vom 24. August 12:28 Uhr:
Weitere Informationen der Deutsche Telekom in einer ersten Stellungnahme

Update vom 10. September 17:55 Uhr:
WhatsApp führt eine Verschlüsselung des Backups ein

Update vom 13. September 18:13 Uhr:
Frageliste an die Deutsche Telekom

Sicherheitslücke: Hacker bekommen Zugriff auf WhatsApp in zwei Schritten

1 In der Telekom Mailbox wurde eine Rufweiterleitung auf Telekom Voicemail eingerichtet

Screenshot des gehackten iPhones: Rufweiterleitung auf Telekom Mailbox wurde aktiviert. Quelle: IMMO.info.

Über die Telekom Mailbox haben Angreifer die Rufweiterleitung eingerichtet, so dass alle Anrufe auf die Mailbox – auch Voicemail oder Anrufbeantworter genannt – umgeleitet werden. Die Rufweiterleitung kann jedermann, oder ein Bot, über das Sprachmenü der Telekom Mailbox einrichten: Option Taste “7“ drücken: „Rufumleitungen einstellen“. Der Telekom-Kunde muss die Mailbox nicht aktiv genutzt haben.

2 Hacker kapern den WhatsApp Account

Screenshot des gehackten iPhones: Informations-SMS zur Übernahme des WhatsApp Accounts. Quelle: IMMO.info.

Gegenüber WhatsApp gibt der Hacker die Rufnummer des zu übernehmenden WhatsApp Accounts an. Als Verifikation gibt es seitens WhatsApp die Option „Anrufen lassen“. Hierbei wird der WhatsApp PIN-Code telefonisch durchgesagt und nicht per SMS zugeschickt. Durch diese Option ist es nicht mehr notwendig, die SMS abzufangen.

Screenshot des gehackten iPhones: Ansicht der Mailbox (visual Voicemail). Quelle: IMMO.info.

Über die Telekom Mailbox kann der Angreifer den PIN Code zur Übernahme des WhatsApp Accounts abhören oder diesen automatisiert über Voice-to-Text auslesen lassen.

3 Fertig. Der Angreifer hat WhatsApp bei sich installiert – mit Zugriff auf sämtliche WhatsApp Daten des Angriffziels!

Viele User archivieren den Chatverlauf von WhatsApp. Enthalten sind nicht nur die Kontaktdaten. Der Hacker hat Zugriff auf alle persönlichen Nachrichten und Fotos und je nach Einstellung sogar die Videos, die über WhatsApp verschickt wurden. Auffällig ist zudem, dass der WhatsApp-Status nach Kapern des Accounts in indonesischer Sprache erscheint. Das liegt nahe, dass der Hackerangriff aus Indonesien erfolgt ist.

Über eine kriminelle Nutzung der Inhalte ist bei den vorliegenden Fällen noch nichts bekannt – dazu sind diese noch zu aktuell. Wir halten Sie auf dem Laufenden.

Doch wie können die Angreifer auf die Telekom Mailbox zugreifen?

Alle uns vorliegenden Telekom Kunden hatten die Telekom Mailbox zuvor nicht genutzt.

Für den Zugriff auf die Telekom Mailbox von extern reicht es, die Handynummer zu kennen, sowie die SIM-Kartennummer. Die letzten vier Stellen der SIM-Karte entsprechen dem Standard PIN-Code für die Mailbox. Damit kann jeder von extern Zugriff auf die Telekom Mailbox erhalten, obwohl diese noch nie genutzt oder eingerichtet wurde. Eine entsprechende Anleitung kann man dem Telekom Hilfe-Bereich  entnehmen. Ein vierstelliger PIN ist nicht sicher. In den IMMO.info vorliegenden Fällen wurden alle Mailboxen in der Nacht vom 23. August zeitgleich angegriffen. Die Kunden hatten keinerlei Daten, wie beispielsweise SIM-Kartennummern, preisgegeben und nutzen in allen Anwendungen individuelle und sichere Passwörter.

Unsere Vermutungen (Update: 24.08.2021, 12:52):

  • Brute-Force-Angriff: Mittels einem sogenannten Brute-Force-Angriff versucht der Angreifer durch eine Software die Mailbox PIN zu erraten. Die Mailbox PIN der Deutschen Telekom ist nicht sicher. Es gibt maximal 10000 Kombinationsmöglichkeiten und somit ein leichtes Spiel für eine automatisierte Brute-Force-Attacke. Wie einfach so ein Angriff ist, wird in einem Blog-Beitrag aus 2018  des Facebook Security Engineers Martin Vigo anschaulich erläutert.
  • Datenleck: Es wurden Handynummern samt SIM-Kartennummer deutscher Telekom Kunden entwendet. Auffällig ist ein zeitlicher Zusammenhang mit dem vor wenigen Tagen bekannt gewordenen Datenleck der Telekom in den USA. Dieser Kausal-Zusammenhang wird einer Stellungnahme der Deutschen Telekom jedoch ausgeschlossen.

Auch wenn sich diese Vermutungen nicht bestätigen sollten: Aus unserer Sicht besteht ein ernstes Sicherheitsthema bei der Deutschen Telekom. Die Voice Mailbox ist ein Einfallstor für Cyberkriminelle. Es fehlt an heutzutage üblichen Sicherheitsmechanismen – beispielsweise eine Kundenbenachrichtigung wenn von extern auf die Mailbox zugegriffen wird. Dieser Hack ist mit einfachen technischen Werkzeugen automatisierbar und skalierbar. Dies ist vor dem Hintergrund sehr kritisch, dass der Mailbox-Zugriff äußerst sicherheitsrelevant ist. Nicht nur WhatsApp, auch zahlreiche andere Dienste ermöglichen eine telefonische Verifikation als Alternative zur SMS.

Die Telekom Mailbox ist bei Telekom Kunden standardmäßig aktiviert. Vielen Nutzern ist gar nicht bewusst, dass sie im Besitz einer Mailbox sind und dass diese ein zusätzliches, potenzielles Sicherheitsrisiko darstellt. Wünschenswert wäre, dass die Mailbox durch den Kunden proaktiv aktiviert werden muss, gleichzeitig mit Vergabe eines neuen, nach aktuellem Stand der Technik sicheren Passworts.

Welche Maßnahmen sollte ich ergreifen

Telekom WhatsApp Account gehackt über Voicemail 2-Faktor-Verifizierung

IMMO.info empfiehlt folgende vier Sofort-Maßnahmen zur Absicherung persönlicher Daten:

    1. Richten Sie einen mindestens 8-stelligen Mailbox Code ein
    2. Falls Sie gehackt wurden: Rufweiterleitung zur Mailbox löschen
    3. Mailbox durch die Telekom endgültig deaktivieren lassen
    4. Verwenden Sie 2-Faktor-Authentifizierung wo immer möglich

Eine kurzfristig erstellte Anleitung zu den jeweiligen Maßnahmen entnehmen Sie bitte folgendem PDF. Aktualisierungen folgen.

Update: Stellungnahme der Deutschen Telekom

In einer Stellungnahme der Deutsche Telekom vom 24. August 12:28 Uhr gegenüber IMMO.info schließt die Deutsche Telekom einen Kausal-Zusammenhang zwischen dem Hacker-Angriff in den USA und Voicemail-Hack aus technischen Gründen aus. Ebenso liegen der Telekom aktuell keine Informationen über einen Zugriff unbefugter Dritter auf eine Datenbank mit SIM-Kartennummern deutscher Kunden vor.

Nach Aussage der Deutschen Telekom sind Expertinnen und Experten des Anti-Missbrauch-Teams aktiv und scannen das gesamte Netz täglich mit speziellen Bots ab, um solche Kundenkonto-Informationen aufzuspüren und den Kunden helfen zu können. Auch Kunden anderer Netzbetreiber und seien diesem Risiko-Szenario ausgesetzt.

Update: Weitere Frageliste an die Deutsche Telekom

Nach Recherchen von IMMO.info fehlen bei der Mailbox-Abfrage zahlreiche Sicherheitsmechanismen, die heutzutage Standard sind. Die Technologie befindet sich nicht mehr auf dem neuesten Stand der Technik und IT-Sicherheit. In einem Test konnte IMMO.info von verschiedenen Anschlüssen zahlreiche PIN-Codes ausprobieren, ohne dass die Mailbox-Abfrage von extern generell gesperrt wurde. Eine Kundeninformation per SMS oder E-Mail, weder über einen externen Mailbox-Zugriff, noch über die Eingabe einer falschen PIN erfolgte nicht.

IMMO.info hat hierzu eine Frageliste an die Deutsche Telekom geschickt. Unter anderem mit folgenden Fragen:

Zugriffsbeschränkungen:

  • Gibt es Beschränkungen, wie oft eine Mailbox-PIN falsch eingegeben werden kann, ausgehend von verschiedenen Anschlüssen? Gilt diese Beschänkung über eine ausreichend langen Zeitraum?
  • Gibt es Sperren des Zugriffs auf die Mailbox von bestimmter betrugsbekannter Rufnummern oder zum Beispiel aus bestimmtem Ländern oder Regionen mit hohem Potenzial für Fraud?
  • Haben Vertriebspartner wie beispielsweise Telekom-Shops oder Callcenter-Mitarbeiter Zugriff auf die SIM-Kartennummer von Bestandskunden?

Automatische Kundenbenachrichtigungen, zum Beispiel SMS oder E-Mail:

  • Gibt es eine Kundenbenachrichtigung, wenn von einem externen Anschluss auf die Mailbox zugegriffen wird oder zum Beispiel wenn von extern eine Rufweiterleitung eingerichtet wird?
  • In anderen Fällen, zum Beispiel nach Eingabe einer falschen Mailbox-PIN?

Update: WhatsApp führt eine Verschlüsselung des Backups ein

Facebook, der Mutterkonzern von WhatsApp, arbeitet an Features zur Verbesserung der Sicherheitsstandards, um beim laufenden Wettrüsten mit Internetkriminellen im Cyberwar standhalten zu können. So hat Facebook am 10. September das neue Sicherheitsfeature E2EE backups bekannt gegeben . Hierbei kann der WhatsApp Nutzer seine Backups anhand eines 64-stelligen Schlüssels verschlüsseln. Es wird empfohlen nach Aktivierung des Backups, WhatsApp beim Backup des Endgeräts auszuklammern.

Facebook hat augenscheinlich das Sicherheitsrisiko erkannt, dass Dritte, zum Beispiel über die Telekom Voicebox, recht einfach den WhatsApp Account kapern können. Mit der Backup Verschlüsselung wird zumindest sichergestellt, dass Unbefugte Schwachstellen wie die Telekom Voicebox ausnutzen und Zugriff auf die häufig pro Nutzer hunderttausendfach vorliegenden WhatsApp Nachrichten und Medien gelangen.

Problem 1: WhatsApp machte die Sicherheitseinstellungen bisher nicht verpflichtend und weist seine Nutzer nicht proaktiv darauf hin. Somit ist davon auszugehen, dass weiterhin eine Mehrheit der WhatsApp Nutzer keine dieser zusätzlichen Sicherheitseinstellungen aktiviert.

Problem 2: Die Telekom Voicebox ist nicht nur für WhatsApp, sondern für viele weitere Drittanbieter ein Schwachstelle, die Internetbetrüger sehr einfach ausnutzen können. Es bleibt abzuwarten, ob und wann die Telekom reagieren wird. Im Vergleich zu Facebook zeigt sich der Telekomkonzern an dieser Stelle schwerfällig und mit dem Ausrollen von Sicherheitsvorkehrungen zum Schutz der Privatsphäre ihrer Kunden.

Newsletter bestellen

Newsletter

IMMO.info Newsletter abonnieren

Bleiben Sie auf dem Laufenden!
Tipps & Aktuelles – Versand wöchentlich

Die aktuellsten IMMO.info News

Postbank Wohnatlas Immobilienpreise Eigentumswohnungen 2024

Postbank Wohnatlas 2024

Eigentumswohnungen deutlich günstiger

Von: Karina Jais
Teilverkauf von Immobilien: Ein Traum mit Vorbehalt? Verbraucherdialog NRW in Düsseldorf

„Verbraucherdialog NRW“ in Düsseldorf

Teilverkauf von Immobilien: Ein Traum mit Vorbehalt

Von: Evelyn Steinbach
Wertfaktor keine Neukunden

Wertfaktor

Teilverkauf-Erfinder hört auf

Von: Redaktion IMMO.info
Teilverkauf Mindestwert energetische Sanierung Verbraucherschutz

Mindestwert und Instandhaltung

Verbraucherschutz und BaFin: Wird Teilverkauf kundenfreundlicher?

Von: Redaktion IMMO.info
Bafin Teilverkauf Prüfung

Erlaubnispflicht für Teilverkauf?

BaFin prüft den Teilverkauf

Von: Redaktion IMMO.info