Bis letzte Woche erlaubte der Bug auf der Webseite von T-Mobile Cyber-Angreifern den einfachen Zugang zu persönlichen Kundendaten, wie E-Mail-Adressen, Kontonummern und Internationaler Mobilfunk-Teilnehmerkennung (IMSI), die der eindeutigen Identifizierung von Netzteilnehmern dient. Mit Hilfe der IMSI ist es theoretisch möglich, den Aufenthaltsort eines Opfers nachzuvollziehen sowie dessen Anrufe und SMS abzufangen.

Daten aller T-Mobile-Kunden gefährdet

Hacker, denen die Telefonnummern von Kunden bekannt war oder die sie erraten haben, konnten sich dadurch die sensiblen Daten beschaffen und für weitere Manipulationen oder die Übernahme von Kunden-Telefonen nutzen. Sicherheitsforscher Karan Saini, der den Fehler entdeckt hatte, betonte, dass die Daten von allen 76 Millionen T-Mobile-Kunden anfällig gewesen wären. Aus diesen hätte leicht eine durchsuchbare Datenbank mit akkuraten und aktuellen Informationen zu allen Nutzern erstellt werden können. Auch gab es keinen Mechanismus, der Angreifer davon abgehalten hätte, ein Skript zu schreiben, das den Datenklau automatisiert.

Laut T-Mobile nur wenige Kunden betroffen

Der Bug befand sich innerhalb der wsg.t-mobile.com-Programmierschnittstelle. Laut Saini übermittelte die Schnittstelle auf Abfrage einer Telefonnummer als Antwort einfach die Daten des Besitzers. Entgegen Sainis Erkenntnissen erklärte T-Mobile, dass der Fehler nur wenige Kunden betroffen habe: „Wir wurden alarmiert durch ein Problem, das wir in weniger als 24 Stunden untersucht und komplett gelöst haben. Es gibt keine Anzeichen dafür, dass es weitläufiger in Umlauf geraten ist.“

Am Freitag hat das Unternehmen den Fehler laut Motherboard behoben.