Blog

#redtube #Abmahnung Telekom verlangt wohl Löschung der herausgegebenen Daten – Datenweitergabe bei Abmahnungen HÖCHST KRITISCH!!!

Ein 1&1-Kunde hat bei der Telekom nachgefragt, wie die Geschichte mit der Herausgabe der Daten durch die Telekom grundsätzlich und im redtube-Fall momentan aussieht. Bei verauskunfteten Daten fallen nämlich nicht nur Adresse und Name, sondern auch Zugangskennung oder eine Anschlusskennung der Abgemahnten in die Hände der Abmahner. Das kann jedoch fatale Folgen haben.

 

So wie es bisher aussieht, wurden aber nur Telekomkunden abgemahnt. Aber stellen wir mal eine andere Frage: Was wäre, wenn 1&1-Kunden auch betroffen wären (sind?). Im 1&1-Forum und im 1&1-Blog findet man die Information, dass die (angeblichen) Rechteinhaber die IP bei der Telekom einreichen und die Telekom dann die Zugangskennung des 1&1-Kunden an die Abmahner auf Grundlage eines Gerichtsbeschlusses weitergegeben und dann diese wiederum auf der Grundlage der 1&1-Kennung die Namen und Adressen bei 1&1 anfordern.

1und1antwort
1&1Antwort

Als 1&1-Kunde ist dieser Fall dann als höchst kritisch anzusehen.

Warum? Die Zugangs-ID des Nutzers ist in der Regel auch die Login-ID für das Benutzerkonto und den Internetanschluss, sowie eine eMail-Adresse. Bei 1&1 ist in diesem Fall nur noch das Passwort nötig, um sich im Kundenkonto anzumelden (Kennung ohne “@online.de”) und unerwünschte Bestellungen auf Kosten der Abgemahnten auszuführen (und zu Freunden ins Ausland, Bsp. Schweiz, senden zu lassen), an die Bankkontodaten zu kommen, weitere persönliche Daten wie Telefonnummern abzugreifen, aber auch eMail-Zugänge einzurichten und dort neue Passwörter zu vergeben. Danke an die Tester! Das ist absolut gefährlich!!! Ich würde das sogar als einen SuperGau bezeichnen.

Warum? Mit einem gezielten Social-Engineering-Angriff auf Betroffene ist bei einer professionellen Gesprächsführung schnell ein Passwort entlockt. Und mit der vorhandenen Zugangs-ID ein Baustein der Vertrauen schafft, vorhanden.

Folgendes Beispiel für einen solchen Social-Engineering-Angriff:

Per Telefonanruf

Kunde: Hallo?

Angreifer: Guten Tag Herr X (Name durch Auskunft der Telekom und 1&1 bekannt) ! Mein Name ist Y und ich rufe vom 1&1-Kundencenter an.

Kunde: Was kann ich für sie tun? (Der Höflichkeit wegen eingefügt)

Angreifer: Wir haben bei 1&1 einen Sicherheitsvorfall festgestellt. Mehrere Kunden könnten Opfer eines Hackerangriffes geworden sein. Ob Sie dabei sind, können wir nicht sagen. Haben Sie möglicherweise etwas festgestellt, was Ihnen merkwürdig vorkam? (Macht Sinn, um festzustellen, ob der Angerufene vielleicht Fach- und Sachkundig ist und der Angriff scheitern könnte)

Kunde: Nein, nichts bemerkt. Das ist ja schlimm. (Ist ein 70ig-Jähriger der ab und zu mal eMails schreibt)

Angreifer: Ich würde deswegen gerne mit Ihnen alle nötigen Sicherheitsmaßnahmen ergreifen. Es ist wirklich dringend und sinnvoll.

Kunde: Ja, was müssen wir dann tun?

Angreifer: Wir müssten kurz eine Identifikation durchführen. Ich würde Ihnen erstmal die bisherige Kennung nennen, damit Sie wissen, dass ich auch von 1&1 bin. Sonst würden Sie noch glauben jemand erlaubt sich einen Spaß oder will Ihnen böses. (Was ist vertrauensvoller?)

Kunde: Ja, warten Sie. Ich hole meine Unterlagen!

(Pause)

Kunde: Ich bin wieder da.

Angreifer: Also, Sie sind Herr X, aus Z, wohnhaft in der Straße O, Nummer 1. Ihre Kunden-ID lautet AAAAAA . Ist das korrekt? (Daten aus der Abmahnung)

Kunde: Ja, das ist es. Gut.

Angreifer: So. Wir haben bis auf weiteres bei allen Kunden, die betroffen sein könnten, den Zugang zum Controlcenter von 1&1 gesperrt. Auch Ihren! Zur Sicherheit! Sie kennen ja das Controlcenter, oder? (Opfer immer einbeziehen)

Kunde: Ja, natürlich.

Angreifer: Wir wollen Ihnen nun ein neues Passwort zusenden. Aber nur postalisch. Das kann bis zu einer Woche dauern. So lange müssten Sie sich gedulden. Es ist uns jedoch enorm wichtig, dass Sie mir Ihr altes nicht mehr gültiges Passwort nennen. Wir wollen dieses Passwort in eine Datenbank aufnehmen, damit es nicht mehr verwendet werden darf. Damit stellen wir sicher, dass gestohlene Zugangsdaten nicht mehr verwendet werden können. Und! Das ist das Wichtigste! Auch für Sie! Wir können, wenn das Passwort nochmal verwendet wird den Betrüger überführen. Das ist nicht nur in unserem, sondern sicher auch in Ihrem Interesse, oder?

Kunde: Ja. Natürlich.

Angreifer: Dann nennen Sie mir bitte das alte nicht mehr gültige Passwort, damit Sie endlich wieder sicher sind!

Kunde: Ja, das Passwort lautete BBBBBBB. (Ist ja nicht mehr gültig, hat der nette Mann gesagt.)

Angreifer: Gut. Ich habe es aufgenommen. Sie können es nicht mehr verwenden und erhalten spätestens in einer Woche ein neues Passwort per Post. Wenn der Brief etwas später kommt, bitte nicht böse sein. Rufen Sie sonst in zwei Wochen den Support an. Das läuft komplett unkompliziert. (Zwei Wochen reichen aus zum Ausspähen von Daten, Bestellen von Hardware etc. etc. etc.)

Kunde: Ja, das mache ich dann.

Angreifer: Ich danke Ihnen, dass Sie uns geholfen haben und ich hoffe wir konnten Ihnen mit diesem Sicherheitsservice ein gutes Gefühl geben. Uns sind die Kunden absolut wichtig.

Ciao usw.

Ein relativ bekannter Social-Engineering-Angriff ist der sogenannte Enkeltrick. Auf so eine Masche fallen aber nicht nur ältere Leute rein. Der Schaden, der durch das kleine Detail der Nutzerkennung angerichtet werden kann, könnte in diesem Szenario für 1&1-Kunden ziemlich teuer werden. Wie es bei anderen Providern ist, weiß ich nicht genau. Jedoch macht dieses Szenario und die Breite der herausgegebenen Daten ein breites Betätigungsfeld für Betrüger möglich. Kunden anderer Provider können ja mal spitzfindig nachfragen welche Daten ihr Provider bei diesen und ähnlichen Abmahnfällen herausgibt. Und wer einen Test mit den T-Online-Daten, die in der Abmahnung angegeben waren machen und mir zusenden kann, dem wäre ich sehr dankbar. Antworten bitte schnell zu mir!

 

Die Herausgabe dieser (Benutzer-)Daten sollte in Zukunft am Besten gar nicht mehr erfolgen!!! Es ist tragisch, dass das bisher nicht unterlassen wurde. Es ist sicher auch ratsam seinem Provider mal etwas härter auf den Zahn zu fühlen. Auch die Möglichkeit sich einen anderen Anbieter zu suchen, ist immer gut und kann erwähnt werden bei der Beschwerde. Wäre ich ein Betroffener, würde ich prüfen ob ich bereits nach anderen Abmahnungen Opfer eines Betruges geworden bin, oder, sollte man mal Opfer eines Betruges werden, sich daran erinnern, dass bestimmte Leute wichtige Bestandteile meiner Zugangsdaten erhalten haben.

 

Gehen wir jetzt weg von diesem Szenario und wenden uns wieder der Telekom zu. Nachdem das Landgericht einige Beschlüsse einkassiert hat, hat die Telekom die Abmahnanwälte aufgefordert die durch sie herausgegebenen Daten (IP, Name, Adresse, usw.) zu löschen und eine Bestätigung der Löschung der Telekom zukommen zu lassen. Das geht aus einer Antwort an einen Nutzer hervor.

Telekomantwort1

Telekomantwort2

Ob die Telekom die Löschung ALLER Daten verlangt oder nur von den verauskunfteten Daten von den zurückgenommenen Beschlüssen wurde noch nicht beantwortet.

Wer also Telekomkunde ist, prüft bitte mal, was mit der  Benutzerkennung alles so möglich ist, wenn auch das Passwort bekannt ist. Siehe diesen Ausschnitt zur Benutzerkennung einer Abmahnung. In den eigenen Unterlagen sollte die Nummer zu finden sein.

hotstoriesabmahnung

Es bleibt spannend, denn die Abmahnindustrie bekommt scheinbar Informationen, die die Abgemahnten in Schwierigkeiten bringen kann.

 

Danke für die Aufmerksamkeit! Fehler, Irrtümer und Hinweise wie immer per eMail an mich! Auch gerne Tests und Erfahrungen!

Tagged , , , , , ,