summaryrefslogtreecommitdiff
path: root/updates
diff options
context:
space:
mode:
Diffstat (limited to 'updates')
-rw-r--r--updates/2004/obsoc.md25
1 files changed, 11 insertions, 14 deletions
diff --git a/updates/2004/obsoc.md b/updates/2004/obsoc.md
index a4b18056..09d59efa 100644
--- a/updates/2004/obsoc.md
+++ b/updates/2004/obsoc.md
@@ -1,29 +1,26 @@
1title: Sicherheitsdesaster im Webangebot der Telekom 1title: Sicherheitsdesaster im Webangebot der Telekom
2date: 2004-07-26 00:00:00 2date: 2004-07-26 00:00:00
3updated: 2009-04-18 19:07:43 3updated: 2011-07-26 19:46:37
4author: erdgeist 4author: erdgeist
5tags: update 5tags: update, t-hack
6 6
7 7Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher als kompromittiert betrachtet werden. Dies berichtet das wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos Computer Clubs in seiner aktuellen Ausgabe.
8Sämtliche Online-Services des Dienstes T-Mart Web-Services des Unternehmens T-Systems (Deutsche Telekom), die auf dem
9sogenannten Framework "OBSOC" basieren, weisen Sicherheitsprobleme auf. Alle Benutzerkonten in diesen Systemen müssen daher
10als kompromittiert betrachtet werden. Dies berichtet das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos
11Computer Clubs in seiner aktuellen Ausgabe.
12 8
13 9
14<!-- TEASER_END --> 10<!-- TEASER_END -->
15 11
16Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es 12Grund dafür sind eine Reihe von Sicherheitslöchern im OBSOC, die es
17einem Benutzer erlauben, mit einfachsten Mitteln (wie z.B. dem einfachen 13einem Benutzer erlauben, mit einfachsten Mitteln (wie z. B. dem
18Austauschen einer Kundennummer in einer Webadresse) auf fremde 14einfachen Austauschen einer Kundennummer in einer Webadresse) auf fremde
19Kundendaten zuzugreifen. Dadurch wurde es möglich, dass ein beliebiger 15Kundendaten zuzugreifen. Dadurch wurde es möglich, daß ein beliebiger
20Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten 16Benutzer Zugriff auf die gesamten sensiblen Daten der OBSOC-Kundenkonten
21erhalten kann, ohne dafür legitimiert zu sein. 17erhalten kann, ohne dafür legitimiert zu sein.
22 18
23Eine detaillierte Dokumentation der Abläufe findet sich im Artikel des 19Eine detaillierte Dokumentation der Abläufe findet sich im [Artikel des
24Autors Dirk Heringhaus unter <http://ds.ccc.de/083/obsoc/>. 20Autors Dirk
25Hintergrundmaterial und begleitende Berichterstattung sind unter 21Heringhaus](http://dasalte.ccc.de/t-hack/stn/inhlt/drartkl.htm)
26[http://www.ccc.de/t-hack/](/de/t-hack/) nachzulesen. 22Hintergrundmaterial und begleitende Berichterstattung sind
23[hier](http://dasalte.ccc.de/t-hack/) nachzulesen.
27 24
28Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft 25Das OBSOC ist in grober Näherung mit dem Passport-System von Microsoft
29(die in enger Partnerschaft mit der Telekom dieses System aufgesetzt 26(die in enger Partnerschaft mit der Telekom dieses System aufgesetzt