Durch das Ausnutzen einer sehr simplen Sicherheitslücke dürfte die gesamte Liste der Haupt-E-Mail-Adressen der T-Online-Kunden bereits in die Hände von unbefugten Dritten (Spam-Versender und dubiose Datenhändler) gelangt sein. Man habe das Auslesen dieser Daten kürzlich unter Aufsicht von neutralen Sicherheitsexperten unter Beweis stellen können. Möglicherweise sind nach eigenen Angaben erneut viele Millionen Kunden von diesem neuen Datenleck betroffen.

Neben T-Online seien auch die Anbieter GMX und Web.de von dieser Lücke betroffen. Der Download aller E-Mail-Adressen sei hier jedoch zeitaufwendiger, da die Systeme der United Internet AG einen anderen Aufbau als der der Telekom haben.

Die Mitarbeiter von Resisto machten sich die allseits geforderte Bequemlichkeit der Kunden zunutze. Man ließ entweder wie bei der Telekom die Mailnamen aufgrund des alphanumerischen Aufbaus der E-Mail-Adresse hochzählen, oder fragt die Datenbanken der anderen Anbieter mittels so genannter Brute-Force-Angriffen ab. Angeblich sollen bei T-Online rein rechnerisch 100 Milliarden kurze Server-Anfragen ausreichen, um alle Hauptadressen aus der Datenbank zu entwenden. Tobias Huch dazu: "Bei GMX und Web.de bräuchten wir mit Sicherheit ein paar Tage oder Wochen länger, um einen großen und wertvollen Datenbestand zusammen zu haben, aber wir haben genügend Rechnerpower und eine 1000 MBit/s-Anbindung im Unternehmen, was für eine solche Unternehmung ausreichen dürfte. Professionelle Datendiebe und Spam-Versender haben nach unserem Stand der Erkenntnis sogar noch weit größere Ressourcen, um solch eine Lücke auszunutzen".

Erotikunternehmer Huch machte bereits im Oktober 2008 als Datenschützer von sich reden. Er deckte einen Datenskandal bei T-Mobile auf, kurze Zeit später wurden seine Räumlichkeiten mit einer Hausdurchsuchung bedacht. Man hat damals wie heute erneut den Landesbeauftragten für den Datenschutz in Rheinland-Pfalz über die Lücke informiert. Für die nächste mit Sicherheit anstehende Hausdurchsuchung wurden schon vor einigen Tagen Osternester in den Räumlichkeiten versteckt, um den Beamten ihre Aufgabe "schmackhafter" zu gestalten. Man darf also gespannt abwarten, wie lange die nächste Hausdurchsuchung auf sich warten lässt, beziehungsweise wie viele der neuen Nester dann gefunden werden. (via Resisto.com, thx!)

Update:

Die Telekom hat das neue Datenleck in Bezug auf die E-Mail-Adressen ihrer Kunden zurückgewiesen. Bei ihnen und T-Mobile würde es keine Datenlücken geben, es habe auch kein Datendiebstahl stattgefunden. Ein Sprecher gab bekannt, die Angelegenheit hätte nichts mit einer Sicherheitslücke zu tun. Dem Unternehmen sei die Problematik aber bekannt. Zum Schutz der Kunden vor unerwünschter Post würde man restriktive Spam-Filter einsetzen. Offenbar ist dies für die Mitarbeiter der Telekom genügend Schutz vor jeglichem Missbrauch.

Mittlerweile sind die ersten Bilder der Osternester aufgetaucht, die Tobias Huch in froher Erwartung für die ermittelnden Beamten verteilt hat. Erotikunternehmer Huch kritisierte das Verhalten der Deutschen Telekom auf Anfrage von gulli scharf:

"Eine Vogel Strauß-Taktik jetzt anzuwenden ist dem Problem nicht dienlich. Eine Lücke ist klar vorhanden und das System das einzigartig einfachen Mailadressenaufbaus bei T-Online ein zu großes Risiko. Dann auch noch mit den eigen Spamfiltern zu werben verschärft die oberflächliche Reaktion auch noch. Das kommt mir vor, als ob ein Arzt in seinem Ort die Leute mit Grippe ansteckt und dann argumentiert, dass er doch genug Tamiflu zum verschreiben habe."

Huch zeigte sich verärgert, dass die Telekom keinen direkten Handlungsbedarf sieht und die betroffenen Kunden im Dunkeln tappen lässt. Anbieter wie gmx hätten direkt reagiert, obwohl sie nur am Rande von dem Problem betroffen seien, da ihr Mailadressenaufbau an sich sicher und gut sei. (Ghandy)

(via Stern.de, thx!)