Thema: T-Online diverses

[SiLæncer]

Zentraler Kreditausschuss warnt vor der Weitergabe von PIN und TAN

Kunden, die den Bezahlservice "Online-Überweisung" von T-Online in Webshops nutzen, verstoßen dabei gegen die Geschäftsbedingungen von Banken und riskieren, in Missbrauchsfällen für Schäden voll zu haften. Das berichtet das ZDF-Wirtschaftsmagazin "WISO" vorab zu seiner Sendung am Montag, dem 21. März 2005, 19.25 Uhr.

Wer das Verfahren der "Online-Überweisung" nutzen will, muss seine persönlichen Kontozugangsdaten preisgeben. PIN und TAN dürfen aber nicht an Dritte weitergegeben werden, heißt es aus gutem Grund in den Sicherheitsbestimmungen der Institute.

Nach eigenen Angaben bietet T-Online seit Dezember 2002 die Dienstleistung "Online-Überweisung" für Webshops an. Bei T-Online selbst oder beispielsweise auch im Shop des Computerhändlers Medion kann der Kunde eine Bestellung bezahlen, indem er ein Überweisungsformular ausfüllt und dann PIN und TAN übermittelt, so WISO. Doch damit verstößt er gegen seine Sorgfaltspflicht im Onlinezahlungsverkehr und ist bei einem Missbrauch der Daten voll haftbar. Das bestätigte der Zentrale Kreditausschuss (ZKA) gegenüber "WISO". Zum Dienst von T-Online wollte sich der Spitzenverband der deutschen Banken und Sparkassen aber nicht äußern. Nach Ansicht von WISO unterläuft der Service des Internetanbieters eindeutig die von den Instituten herausgegebenen Sicherheitsbestimmungen.

Die Zurückhaltung des ZKA stößt bei Verbraucherschützern auf Kritik. Hartmut Strube von der Verbraucherzentrale NRW gegenüber WISO: "Es ist unbegreiflich, dass die Banken und Sparkassen das überhaupt zulassen. Denn einerseits fordern Sie von den Kunden strikt, die PIN niemandem zu geben. Und hier sehen sie zu, wie Anbieter eine Grauzone schaffen und dem Kunden die PIN abluchsen wollen."

Zwar sind bisher sind keine Schadensfälle bekannt geworden. WISO rät dennoch allen Kunden, die den Bezahlservice bereits genutzt haben, unverzüglich ihre Online-PIN ändern.

Quelle : www.golem.de

[SiLæncer]

Der bekannten Sicherheitslücke im ADSL-WLAN-Router Speedport W700V begegnet T-Online mit einer unkonventionellen Maßnahme. T-Online-Kunden können über den TCP-Port 8085 keine Verbindung mehr herstellen, was ein Sprecher der Telekom gegenüber heise online auf Nachfrage bestätigte. Das unterbindet den Zugriff auf den Fernkonfigurationszugang des Speedport-Routers.

Laut Telekom-Sprecher Ralf Sauerzapf laden die Router zwar automatisch ein Update. Das habe allerdings noch nicht alle verkauften Systeme erreicht. Somit könne man nicht ausschließen, dass noch das eine oder andere Gerät ungepatcht ist und die Sicherheitslücke aufweist. Seit Firmware-Version 1.16 ist das Sicherheitsproblem behoben.

Von der Portsperre sind ausschließlich T-Online-Kunden betroffen. Kunden der T-Online-Tochter Congster, des Geschäftskundenangebots T-DSL Business oder anderer T-Com-Reseller haben weiterhin Zugriff auf den Port. Die Sperre fiel auf, weil eine Bank für ihr Tool zum Online-Handel zufällig genau diesen Port nutzt, offiziell ist er keinem bestimmten Dienst zugewiesen. Vermutlich wird die Sperre noch einige Zeit bestehen bleiben, um die Speedport-Betreiber, die noch kein Update vorgenommen haben, vor einem Zugriff auf ihren Router zu schützen. Insider spotten schon, dass T-Online jetzt nur noch 65.533 Versuche habe, die Sicherheit ihrer Geräte in den Griff zu bekommen.

Quelle : www.heise.de

[SiLæncer]

Durch eine Schwachstelle können Angreifer die Mail-Adressen von T-Online-Kunden kapern, wie MDR Info berichtet. Der Angreifer lockt sein Opfer in spe hierzu auf eine speziell präparierte Internetseite, die ohne Zutun des Nutzers eine Anfrage an einen T-Online-Server schickt.

Die Anfrage bewirkt, dass der Mail-Alias des T-Online-Nutzers freigegeben wird. Im Anschluss kann sich der Angreifer den Alias selbst registrieren und beliebig nutzen; etwa, um sich über "Passwort vergessen" Zugriff auf Webdienste zu verschaffen, bei denen der ursprüngliche Eigentümer des Mail-Accounts registriert ist.

Bei dem Angriff handelt es sich um sogenanntes Cross-Site-Request-Forgery (CSRF), das darauf abzielt, dass eine Funktion auf der T-Online-Site nicht ausreichend geschützt ist. Die speziell präparierte Website des Angreifers ahmt den HTTP-Request nach, der erzeugt wird, wenn einen Nutzer seinen E-Mail-Alias über die entsprechende Funktion auf der T-Online-Site freigibt. Die Anfrage könnte etwa folgendermaßen aussehen:

Code: [Auswählen]

http://mail.t-online.de/service.php?action=unregister
T-Online gibt den Alias daraufhin – offenbar ohne Schonfrist – zur Neuregistrierung frei.

Entdeckt hat die Schwachstelle Matthias Ungethuem aus Gerichswalde in Sachsen, der das Unternehmen bereits vor sechs Wochen per Fax darüber informiert haben will. Die Telekom erklärte gegenüber heise Security, dass man derzeit mit Hochdruck an der Beseitigung der Sicherheitslücke arbeite.

Als Betreiber eines Webdienstes kann man seine Nutzer zum Beispiel durch den Einsatz eines Page-Tokens vor CSRF schützen. Dabei bettet der Server unsichtbar eine zufällig generierte Zeichenkette (das Page-Token) in die Webseite ein, über die der Nutzer die zu schützende Funktion auslösen kann. Wenn der Nutzer zum Beispiel auf "Abmelden" klickt, wird das Token automatisch mit an den Server übertragen. Entspricht das Token dem zuvor eingebetteteten, weiß der Server, dass die Anfrage legitim ist und führt die Aktion aus.

Als Nutzer kann sich hingegen kaum vor CSRF schützen. Man weiß schließlich nie, hinter welchem Link eine Angriffsseite lauerte. In einigen Fällen hilft es, sich bei den Webdiensten nach der Nutzung konsequent abzumelden. Ob das allerdings vor der Übernahme des T-Online-Mailaccounts schützt, ist unklar.

Quelle : www.heise.de