Kaum ein Unternehmen taucht im GDPR-Ticker (Portal zur Erfassung von Datenschutzverstößen und Bußgeldern) so häufig auf wie der Telekommunikationsanbieter Vodafone. Zahlreiche Einzelfälle (meist aufgrund von mangelnder Sorgfalt und unzureichenden Sicherheitsmaßnahmen) haben sich in den letzten zwei Jahren ereignet. Angefangen bei unerlaubter Werbung, bis hin zur Weitergabe von persönlichen Vertragsinhalten an Drittpersonen sowie Missbrauch von Daten, hat sich das Unternehmen einiges zu Schulden kommen lassen – und dementsprechend viele Bußgelder zahlen müssen.
Nun gab es einen neuen Vorfall: Im August ist dem „Quality Assurance Engineer” Daniel Werner auf der Vodaphone-Webseite eine weitere Sicherheitslücke mit erheblichem Gefahrenpotenzial aufgefallen. Die Webseite hat einige technische Defizite, sodass es möglich wird, von außerhalb JavaScript-Code zu integrieren.
Dadurch ergibt sich für Hacker eine Vielzahl von Möglichkeiten zum Missbrauch:
- Tastatureingaben belauschen
- Eingabe von Passwörtern tracken
- Einsichtnahme in den persönlichen E-Mail-Account (ggf. Abgreifen weiterer Zugangsdaten, Übernahme weiterer Online-Accounts durch die „Passwort vergessen-Funktion“)
- Abgreifen von persönliche Daten, Kontakten, Kalendereinträgen
- Einsehen von persönlichen Vertragsdaten (Adresse, Rufnummer)
- Einsehen von persönlichen Rechnungen
- Einrichtung einer Rufumleitung (z.B. zu teueren Premiumrufnummern oder ins Ausland, „Hacker verdient mit“)
Diese Liste kann endlos fortgeführt werden, da ein Hacker beliebigen Code mit allen möglichen ausführenden Funktionen in die Seite integrieren kann.
Wirklich brisant ist an dieser Geschichte aber noch ein ganz anderer Punkt: Daniel Werner ist nach der Entdeckung der Sicherheitslücke unmittelbar an Vodafone herangetreten. Von Seiten des Unternehmens gab es allerdings keine Reaktion und die Sicherheitslücke auf der Webseite blieb bestehen. Aus diesem Grund hat sich Herr Werner an die Redaktion von c’t und heise Security gewandt. Erst durch die Publikation der Thematik hat Vodafone reagiert und die Sicherheitslücke innerhalb von Stunden geschlossen.
In einer Stellungsnahme an die Redaktion von c’t und heise Security gab Vodafone sogar zu, dass die Sicherheitslücke bereits seit Anfang August bekannt war. Man bemerke dabei: Das Melden der Sicherheitslücke durch c’t und heise Security fand am 31.08.2020 (!) statt. Vodafone hatte folglich bereits einen Monat Kenntnis von der Problematik und hat nichts unternommen! Dies ist eine bewusst akzeptierte Gefährdung der Kunden auf höchstem Niveau.
Offenbar pflegt das Unternehmen trotz der zahlreichen Bußgelder noch immer einen sehr lässigen Umgang mit dem Thema Datenschutz. Es bleibt abzuwarten, wieviele Bußgelder noch folgen müssen, damit Vodafone sich der Thematik annimmt.
Quelle: Artikel „c’t deckt auf: Sicherheitslücke bei Vodafone mit großem Schadenspotenzial“ auf heise-online, abgerufen am 25.09.2020 unter https://www.heise.de/news/c-t-deckt-auf-Sicherheitsluecke-bei-Vodafone-4907249.html?wt_mc=nl.red.ho.ho-nl-daily.2020-09-25.link.link