KPN: 140.000 ADSL-Kunden mit Standardpasswort

**Ghandy** · 06. 07. 2012, 10:47

In den Niederlanden wurde kürzlich ein Fall publik, bei dem die Zugangsdaten von 140.000 ADSL-Kunden erraten werden konnten. Der Username setzte sich aus der Postleitzahl und Straße des Kunden zusammen, als Standardpasswort wurde "welkom01" verwendet. Kaum jemand hatte seine Zugangsdaten verändert, um einem Missbrauch der Kreditkarte oder des eigenen Bankkontos vorzubeugen.

zur News

**DanVanDamn** · 06. 07. 2012, 10:58

Ich bin etwas irritiert. Ja, das ist Fahrlässigkeit seitens der Kunden und auch - aufgrund der Einfachheit der "Verschlüsselung" - des Providers, aber warum hat ein fieser Hacker direkt meine Bank- und Kreditkartendaten, nur weil er meine Zugangsdaten kennt?

Meine Zugangsdaten unterscheiden sich von den Login-Daten für den Kundencenter meines Providers und das nicht nur, weil ich verschiedene Passwörter verwende, sondern weil das Schema der Eingabe ganz andere Daten fordert. Nur im Kundencenter lassen sich Bankdaten einsehen und ändern. Das Maximum der möglichen Ausnutzung scheint mir doch hier also zu sein, dass jemand mit meinen Zugangsdaten surfen kann und ggf. entsprechend Kosten verursacht, weil ich keinen Tarif mit Flatrate habe, aber er kann damit doch keine Milchzuchtfarm in Botswana über meine Kreditkarte kaufen.

**xxmo** · 06. 07. 2012, 11:43

...außerdem finde ich es leicht irritierend das anscheinend jeder das selbe standard passwort bekommen hat und nicht wie eigentlich üblich ein zufallsding ala "Vh6Fjk6aG"

**TheOnly1** · 06. 07. 2012, 11:46

Das ist bei Alice aber ähnlich.
Benutzername ist die Telefonnummer, das Passwort das Geburtsdatum.
Ich glaube kaum das das hier mehr als 10% geändert haben...

**godlike** · 06. 07. 2012, 11:47

Exakt xxmo, sowas sollte auf jeden Fall bei jeder Webanwendung insbesondere einer Passwortvergabe berücksichtigt werden. Dabei ist sowas innerhalb weniger Minuten implementiert. Sachen gibts

**Ghandy** · 06. 07. 2012, 12:28

Wie das genau ging wurde nicht ausgeführt. Aber es wurde berichtet, dass man aufgrund der Zugangsdaten tatsächlich auch an die Bankdaten und Kreditkartendetails kommen konnte.

**DanVanDamn** · 06. 07. 2012, 12:35

Dass das da nirgendwo steht, habe ich ja gesehen und genau deshalb frage ich ja, denn technisch kann ich mir das nicht erklären und tendiere daher ein wenig zu Panikmache, ausgehend vom Originalartikel.

**Trollolol** · 06. 07. 2012, 14:23

Na offenbar kann man sich da in die Accounts einloggen und darin stehen die Zahlungsdetails,
also Kreditkartennummern oder Bankkontendaten.
Ist eben "kundenfreundlicher", wenn man die Details im Internet einsehen und ändern kann, als Briefe schicken zu müssen.
Ist halt ähnlich wie bei Amazon, nur dass da ein paar Zahlen der Kontonummer maskiert werden.

**Black-Shaddy** · 09. 07. 2012, 01:14

Ähh.... versteh ich das jetzt richtig, es ging wirklich um den Internet-Zugang ?
Also Zugangsdaten die per PPPoE übermittelt werden um surfen zu können ?!

Dachte das wären hochsichere Zufallsziffernfolgen und keine billig-standards...

Wo kann man denn diese Daten überhaupt ändern ?!
Also der Zugang zum "Kundencenter" sollte ja eigentlich ein anderer sein.
Und nicht dieselben Daten enthalten die auch für PPPoE genutzt werden.

Was eine Verarsche...

Wie leichtfertig mit Kundenzugängen umgegangen wird, schon heftig.

Wird das bei Kabel sprich z.B Unitymedia auch so gemacht ?
Würd mich freuen wenn mir Jemand sagen könnte wie ich den Zugang ändere.
Wenn die Provider zu dumm sind das vernünftig einzustellen mach ich es eben selbst.

Im Router habe ich solch eine Einstellung bisher nicht gefunden.
Bei früherem Telefon-DSL wurden die Daten mittels eines "Modem-Installatonscodes" eingetragen.
Hier jetzt bei Unitymedia läuft das mit der Kennung ja irgendwie anders, scheint es mir.

Vielen Dank im vorraus.

PS: Ich versteh allerdings auch nicht was das mit Kreditkarten-Zugänge zutun haben soll.
Also im Kundencenter steht höchsten vielleicht über welche Kontonummer gebucht wird.
Aber mehr als ein Lastschrift-Versuch kann ein Krimineller damit auch nicht starten.
Und die Leitung selbst kann dieser nur für sich über meine Anschluss-Kennung nutzen.
Irgnwelche Passwörter von Sonstwas wird er damit doch nicht bekommen...

Und wenn Jemand da was anderes eintragen wolle - Ja nur zu gerne!
Dann wird halt nicht mein mehr Konto mit Rechnungen belastet.

Klingt für mich schon sehr eigenartig alles.
Ich schätze dabei ging es eher um das nutzlose Kundencenter und nicht mehr...

**Trollolol** · 09. 07. 2012, 09:56

Wovon redest du überhaupt? Wieso überträgt dein Router deine Logindaten?
Es geht doch nur um das Kundencenter, jedenfalls steht nirgendwo etwas Gegenteiliges, sonst wäre der Aufschrei auch größer gewesen.
Man konnte sich in den Acc leicht einloggen und ihn so verändern, dass er kaum noch hätte geändert werden können, außerdem waren darüber genutzte Kontoinformationen und Kreditkartennummern einsehbar.
Damit hätte man schon ziemlich lustige Sachen machen können.

**akumu00** · 09. 07. 2012, 11:41

@Black-Shaddy
Also damals als ich bei Versatel war, da gab es nur 1 Passwort für alles, also das PW für die ppoe Verbindung, Email, und Kundenkonto waren gleich, bzw wenn man eins geändert hatte, wurden direkt alle geändert.

Und bei Unitymedia bzw über Kabel hast du doch gar keine Zugangsdaten, das läuft alles über die MAC Adresse des Routers bzw Modems.

**Black-Shaddy** · 09. 07. 2012, 12:46

@akumu00

Krass: 1 Passwort für alles, was für Deppen bei Versatel..
Wo bist du denn jetzt, wenn ich fragen darf und wie läuft das dort ?

Also bei Kabel ist dann wirklich nur die MAC des Modems entscheidend ?
Okay gut, das würde mich dann schonmal beruhigen...

Ja, dachte da wird vielleicht auch zusätzlich irgend ein Zugang übertragen.
Weil dort wird doch auch irgendwie pppoe verwendet oder nicht ?!

Was ich zumindest schonmal weiß:
MAC-Modem = Anschlusskennung + MAC-Router = "Releasekennung".
Beides wird übertragen, und daraus ergibt sich die vergebene IP/Kunden-Kennung.
Wird die MAC des Routers verändert, erzwingt man eine IP-Erneuerung durch den Provider.
Wird die MAC des Modems verändert, kommt entweder nicht rein oder nutzt einen anderen Anschluss.
(Es wird also die Kunden-Kennung geändert...)

Also werden tatsächlich nur die beiden MACs übertragen und wirklich nichts anderes zusätzliches ?

PS: Hintergrund: Ich wollte nämlich ursprünglich mal einen anderen Router bzw Modem-Router verwenden.
Aber bei Unitymedia konnte mir leider keiner so richtig erklären, wie das genau mit der Kennung läuft.
Es hieße nur, ich dürfe kein anderes Modem verwenden, weil genau nur DAS bei UM registriert sei.
Das halt ich aber für Marketing-Schwachsinn, denn ich könnte ja diese Kennung einfach ändern.
Sprich, so wie früher die pppoe-daten in Windows bzw direkt in das Modem eingetragen wurden.
Wenn das bei UM mit der MAC des Modems läuft, muss ich eben die in das neue eintragen.
Das ist ja teilweise so einfach wie das auch bei den Routern geht. ^^

Nur, vielleicht wird da ja noch irgendwas zusätzliches zur Kennung genutzt. (?)

Vielen Dank schonmal.

**akumu00** · 09. 07. 2012, 14:16

Ich bin bei Unitymedia.

Soweit ich weiß läuft das nur über die MAC, ja.
Rein Technisch wäre es natürlich einfach realisierbar ein anderes Modem bzw Router zu registrieren bzw Freizuschalten, warum die sich da so quer stellen, keine Ahnung. Das ganze läuft auch nicht über pppoe sondern über DHCP, das Modem/Router bekommt direkt eine eigene IP vom Server zugewiesen.
Hatte mir auch mal die Config Files der Box angeschaut aber nichts relevantes gefunden

Ich hatte hier mal die Fritzbox austauschen lassen weil die andere immer abgeschmiert ist, der Techniker hatte die ausgepackt, angeschlossen, kurz bei der Technik angerufen "Bitte einmal freischalten" und schon ging es.

Aber das ist hier jetzt auch Off Topic