Skip to main content

Hallo Community,

Ich bin verzweifelt – vor 5 Monaten wurde mein O2-Konto gehackt, nach mühevoller Arbeit wurde alles wieder in Ordnung gebracht. Heute Morgen wurde ich erneut gehackt, obwohl ich Biometrie auf Handy nutze und alle Passwörter gewechselt habe. Wie konnte das passieren?

O2, bitte klärt das: Wie kann jemand mein Passwort ändern, nachdem alle bereits getauscht wurden? 

Danke für eure Unterstützung.

Viele Grüße,

Die potenzielle Schwachstelle könnte sich einfach in der Anwendungslogik befinden.

Genauso wie bei dir, heisst beide Seiten könen die Ursache setzen.

Eine Frage nutzt du eine Mailadresse zusätzlich neben der Rufnummer zum Log in? Ich frage deshalb, nicht das deine Log-in Mailadresse geändert wurde...


Danke für die Hinweise zu möglichen Schwachstellen in den lokalen Datenschutzrichtlinien. Das muss berücksichtigt werden.

In Bezug auf Behauptungen mit starker Vermutung auf Nutzerfehler frage ich mich, woher solche Annahmen kommen. Wie wahrscheinlich ist es, dass jemand in ein kommerzielles Datenschutzprodukt eindringt und die Daten dann beim Einkaufen bei einem lokalen Telekommunikationsanbieter (O2) nutzt, obwohl dadurch größerer Schaden entstehen könnte?

Es wäre hilfreich zu erklären, welche Angriffsvektoren in Betracht gezogen werden, besonders im Bereich von Browsern oder lokalen Apps, sowie die mögliche Motivation für solche Datenverwendungen. Warum fällt der Hack zufällig genau in den Zeitrahmen des Vorfalls?

Wer aktuelle Informationen hat, die zur Aufklärung des Vorfalls beitragen könnten, kann mich gerne per PM kontaktieren. Dankeschön.


hi @Sandroschubert  Ich weiß nicht genau, was du meinst. Die E-Mail-Adresse ist geschützt, daher ist es unwahrscheinlich, dass eine Änderung des Passworts per E-Mail-Code für den initialen Logon des Kontos erfolgt ...


okay dann nicht. alles gute.


@steve15

Bruteforce Angriffe kann man eigentlich ausschließen, da regulär bei dreimaliger falscher Paßworteingabe das Konto gesperrt wird. Im Falle der App geschieht das bereits beim zweiten mal, was bereits auf eine unsaubere Programmierung hinweist oder nicht durchschaute Abhängigkeiten.

Anderweitig wurde bereits die Vermutung geäußert, daß sich innerhalb O2 jemand Zugriff verschafft haben könnte. Wie hilflos O2 ist, zeigt sich daran, daß  als letzte Hilfsmaßnahme Zugänge gesperrt werden müssen und O2 dies auch selbst anbietet.

Passwörter, die zur Sicherheit abgefragt werden sollten, wurden zuweilen nicht abgefragt. Nein, das ist keine Schulungssache, es sagt mir nur, daß da offensichtlich herumgewurschtelt wird, bzw versucht wird ein intransparentes System am Laufen zu halten.Mitteilungen über Vertragsänderungen werden teilweise nicht übermittelt.

Usw.

Ungereimtheiten über Ungereimtheiten.

Da ist es einfach, die Schuld beim Kunden zu suchen, der nach meiner Ansicht aber nichtt unbeteiligt ist, zumindest kann man es als Außenstehender nicht klären und bei O2 fehlt offensichtlich die Man Power und das Wollen.

Nein, es macht mir keine Freude, den Finger in die Wunde zu legen.

Vielleicht ist auch alles mit ein Problem der Größe des Konzerns. Dafür schlägt sich O2 aber noch ganz gut. In der Werbung seid ihr jedenfalls m E. unschlagbar.


@Knuddeler2 

Meine Vermutung konzentriert sich auf die Verwendung der Kundenkennzahl, die in verschiedenen Szenarien, sowohl offline als auch online und telefonisch, relevant ist. Dabei variieren die Angriffsvektoren.

Die automatisierte Authentifizierung mit der Kundenkennzahl am Telefon: Ist diese ausreichend gegen automatisierte (verteilt) Brute-Force-Angriffe über das Internet geschützt?

Die Authentifizierung durch Mitarbeiter: Dabei wird die Kundenkennzahl per Sprache übermittelt. Wird der Inhalt der Gespräche ausreichend vor möglichen Missbräuchen geschützt?

Zusätzlich stellt sich die Frage, ob einige Mitarbeiter am Telefon alternative Angaben zur Kundenkennzahl erlauben, wie beispielsweise die PIN/PUK der SIM-Karte im Vertrag, wenn diese leicht dazu überredet werden können.

 


Zusätzlich stellt sich die Frage, ob einige Mitarbeiter am Telefon alternative Angaben zur Kundenkennzahl erlauben, wie beispielsweise die PIN/PUK der SIM-Karte im Vertrag, wenn diese leicht dazu überredet werden können.

@steve15 

klar wird das gemacht, mit letzten Ziffern der IBAN, Geburtsdatum, etc.

hatte ich selbst schon.


@poales

Falls bestätigt wird, dass der Hacker in solchen Fällen auf diese Weise eingedrungen ist, bleibt als einzige Lösung für die betroffenen Nutzer nur der Austausch sämtlicher Nutzerdaten. Dadurch wird sichergestellt, dass eine Authentifizierung durch die Verwendung der durchgesickerten Nutzerdaten im Telefonservice nicht mehr möglich ist. Wenn diese Plattform dennoch nicht versucht, die Umgehung der Authentifizierung mit der Geburtsdatum, etc technisch zu unterbinden und der Trick in engen Kreisen bekannt ist, tut mir leid, wenn ich sage, dass eine Diskussion hier über IT-Sicherheit aus meiner Sicht sinnlos erscheint.

 


Hallo @steve15,

Ich kann zwar einerseits deine Besorgnis verstehen, denke aber auch, dass hier im Beitrag schon sehr viel spekuliert wurde, was ich teilweise so nicht nachvollziehen kann.

Ich kann dir versichern, dass die hier im Thread erwähnten Sicherheitslücken bei uns nicht bestehen und alle Vorgänge, die im Kontakt mit unserer Kundenbetreuung angelegt werden, genauestens aufgezeichnet und dokumentiert werden.

Dazu gehört auch die Legitimation mit der persönlichen Kundenkennzahl oder über andere, erlaubte Wege.

Wir nehmen solche Betrugsversuche durch Kriminelle natürlich sehr ernst und selbstverständlich legen wir allergrößten Wert auf die Sicherheit der Daten unserer Kunden. Ich bitte um Verständnis, dass ich hier einzelne Maßnahmen nicht aufzählen kann.

Hatte sich unser Kundenschutz-Team denn schon bei dir zurückgemeldet und konnten deine Fragen geklärt werden?

Viele Grüße

Giulia


Hi @Giulia 

Zwischenzeitlich hat sich das Kundenschutz-Team bei mir gemeldet und einige hilfreiche Tipps gegeben (wofür ich sehr dankbar bin, auch für deine Weiterleitung). Allerdings haben sie keinen Einblick in die bestimmten Systemprotokolle.

Da dies für mich von großer Bedeutung ist, habe ich um eine Stellungnahme des Kundenschutz-Teams zu den letzten Behauptungen gebeten.

LG


Hallo @steve15,

die Mitarbeiter werden sich sicher dazu noch einmal bei dir melden.

Wenn du noch weitere Fragen hast, lass es uns gerne wissen.

Viele Grüße

Giulia


@steve15 notfalls über einen Rechtsbeistand oder eine übergeordnete Behörde. Ich finde es besorgniserregend wie zahlreich das bei o2 passiert. Wir reden hier nicht mehr von Einzelfällen. Auch wenn die direkte Schuld vielleicht nicht bei o2 liegen sollte ist der Hack hier wohl besonders einfach. Bei anderen Anbietern lese ich das nicht so häufig.


@o2_Giulia 

 

Danke. Ich hab schon eine Ahnung, wie es passiert sein könnte, aus verschiedenen Infos, auch der letzten E-Mail. Da kann man nicht viel machen.


@Sandroschubert 

Für meinen Fall wäre es ein wenig übertrieben, rechtliche Hilfe zu suchen. Glücklicherweise habe ich bisher keinen realen Schaden erlitten, abgesehen von Zeitverlust (geschätzt in Richtung bis zu hundert Stunden). 


Wollte dir gerade eine PN schreiben und fragen was du für ideen hast...


@steve15 lass uns nicht dumm sterben, welche Ahnung hast Du?

 

Passwörter im Browser gespeichert und eine dubiose Add-on Installiert?

 


Wollte dir gerade eine PN schreiben und fragen was du für ideen hast...

Ich wollte nur damit sagen, daß ich auch  fremde Ideen zu schätzen weiß.

Meine Ideen habe ich hier bereits geäußert und werde das gerne weiterhin tun, wenn mir etwas einfällt. 


Ja immer her damit.

Ich habe es ja mal über so einen link durchgespielt.

Als erstes gibt man rufnummer und passwort ein -> heisst der hacker ist im Datensatz

2. Daten wie name, geburtstsdatum -> sieht für mich wie ablenkung aus

3. Man bestellt eine esim und es wird vorgegaukelt das man durch den SMS Code seine Daten bestätigt. Nein man aktiviert damit die ESim. Ab dem Moment hat man die komplette Kontrolle über das Kundenkonto verloren

Was mich hier stört. Die Anmeldung die der Hacker bei original o2 durchreicht muss, meiner Meinung nach, über eine Weierterleitung erfolgen.Das sollte man erkennen und unterbinden

2. Die SMS werden gern am Wochenende Abends versandt. Falls etwas passiert ist man aufgeschmissen, da die Kundenbetreuung nicht erreichbar ist, das man sich hier im Forum melden kann ist kein vollwertiger Ersatz und mindestens fahrläsdig seitens des Anbieters. Zumindestens das die Geschichte nicht erst seit ein paar Tagen läuft sondern seit Monaten. Ich sehe nicht das bis dato geeignete Massnahmen dagegen ergriffen wurden das man die Geschichte auf das minimum reduziert.


Ich habe es ja mal über so einen link durchgespielt.

Als erstes gibt man rufnummer und passwort ein -> heisst der hacker ist im Datensatz.      ........

 

das finde ich gut durchdacht und gleichzeitig erschreckend für mich als unbedarften Kunden.

 


 

Ich hoffe, es ist in Ordnung, wenn ich auf einige Überlegungen in diesem Beitrag antworte.

 

» Passwörter im Browser gespeichert und eine dubiose Add-on installiert?

Ich habe es gerade überprüft, kein Add-on benötigt besondere Rechte (wie das Übermitteln von Daten). Da die Add-ons aus dem offiziellen Store geladen wurden, denke ich, ist die Wahrscheinlichkeit ausgeschlossen.

 

» Meine Ideen habe ich hier bereits geäußert…

Beobachtungen von dir und anderen haben mich inspiriert.

 

Schaut euch mal durch diesen Thread. Dabei habe ich auch ein mögliches Hackszenario erwähnt.

 

 

Ich interpretiere die Situation so, dass mein O2-Konto als hoch vulnerabel eingestuft ist und dass im aktuellen Authentifizierungsmodell Schwachstellen existieren, die Angriffe ermöglichen. Somit könnte es einen Angriffspunkt für weitere Attacken darstellen, wie zum Beispiel Sim Swapping, auf andere Plattformen. Wenn die Situation auf grobe Fahrlässigkeit des Nutzers zurückzuführen ist, wäre eine Kündigung seitens O2 doch naheliegend, oder?

 


Deine Antwort