Datenleck durch Sicherheitslücke bei Vodafone-Webseiten

Beim Online-Portal des Anbieters Vodafon ermöglichte eine Schwachstelle den Zugriff auf Kundendaten oder die Manipulation von Rechnungen und vieles mehr.


Anzeige

Die Redaktion von heise wurde von dem Nutzer Daniel Werner (Quality Assurance Engineer) auf die Schwachstelle aufmerksam gemacht. Der Nutzer entdeckte Anfang September 2020 eine Möglichkeit, beliebigen JavaScript-Code in die Vodafone-Website zu injizieren. Die Redaktion von heise hat die Angaben des Nutzers dann überprüft und konnte das Problem auf vodafone.de bestätigen.

JavaScript-Injection in Suchanfragen

Die Schwachstelle bestand darin, dass der Suche in der Webseite ein JavaScript-Befehl untergeschoben werden konnte.  Der JavaScript-Code wird dann im Kontext der Webseite ausgeführt. Gelingt es einem Angreifer einen Vodafone-Kunden über einen manipulierten Link auf die Vodafone-Seite zu locken, bekommt er Zugriff auf alle Ressourcen, die dem Kunden auch zur Verfügung stehen. Heise schreibt:

Im Fall von Vodafone wäre es höchstwahrscheinlich möglich gewesen, persönliche Daten sowie Rechnungen einzusehen und sogar eine Rufumleitung einzurichten.

Rufumleitungen zu teuren Premiumrufnummern oder ins Ausland führen beim Opfer dann zu hohen Telefonrechnungen. Der Betrug fällt erst bei der nächsten Telefonrechnung auf. Wenn ich so an meine Online-Portale von Providern denke, werden dort auch die Mail-Konten des E-Mail-Servers verwaltet, so dass dort auch Mail-Umleitungen eingerichtet werden können. Da ergebt sich einige Missbrauchsmöglichkeiten.

Vodafone reagiert nicht

Der Versuch von Daniel Werner, diese Schwachstelle an Vodafone zu melden, scheiterte aber – der Provider reagierte schlicht nicht (erinnert mich an den Beitrag ‘Kundendienst’: Internetstörung bei Vodafone/Unitymedia). Erst als heise sich einschaltete, wurde die Schwachstelle, die dem Provider seit Anfang August 2020 Zeit bekannt war, bestätigt. Der Kontakt von heise fand am 31. August 2020 statt, da war die Schwachstelle noch nicht geschlossen.

Inzwischen hat Vodafone die Schwachstelle geschlossen und schreibt gegenüber heise ‘Hinweise über Missbrauchsfälle oder Auffälligkeiten aus dieser geschlossenen potenziellen Schwachstelle’ lägen nicht vor. Weitere Details lassen sich hier nachlesen.

Ergänzung: Der Kommentar hier weist auf öffentlich zugängliche Access Logfiles (beinhalteten IP Adressen von Vodafone und Unitymedia-Kunden) von mehreren Vodafone Servern hin. Es scheint da aber keine Details zu geben und die logs sind jetzt nicht mehr öffentlich abrufbar.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenleck, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Datenleck durch Sicherheitslücke bei Vodafone-Webseiten


  1. Anzeige
  2. Jörn sagt:

    Vodafone ist nicht gerade das Unternehmen auf dem Markt, welches seinen Kunden ein offenes Ohr schenkt. Angefangen bei den ganzen Reklamationen und Störungen, falsche oder zu hohe Rechnungen. Vodafone passt sich den Bedürfnissen seiner Kunden einfach nicht an. Statische Unternehmensführung und leicht überheblich.
    Warum sollten die dann auf den Hinweis einer XSS Lücke (Reflected Cross-Site-Scripting) reagieren?
    Erst nachdem Daniel Werner eine mächtigere “Instanz” Heise eingeschaltet hatte, wurde reagiert. Warum müssen wir immer wieder erst zu solchen Mitteln greifen?

  3. Jan sagt:

    Ich habe versucht 2 Jahre lang mit Vodafone über JavaScript Lücken, Sicherheitslücken in den Standard-Router-Modellen in Kontakt zu treten über Soziale Medien Kanäle, per E-Mail, Post und Telefon, Presse-Team.

    Es gibt keine Reaktion, Mitarbeiter sind nicht geschult oder haben keine ausreichende Wissensdatenbank wie zu reagieren ist.

    Häufig haben die Mitarbeiter auch keine Ansprechpartner oder diese sind nicht erreichbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.