De volgende rel: Het blijkt dat T-Mobile nog steeds niks geleerd heeft qua security. Maar deze keer gaat het wel erg ver. Volgens een Twitter draadje met een helpdesk medewerker van T-Mobile Oostenrijk, slaan ze paswoorden gewoon als tekst op:

https://twitter.com/tmobileat/status/981418339653300224?s=19

Natuurlijk is dat "simply not done". Paswoorden horen gehasht én gesalt te worden. Maar de helpdesk medewerkers van T-Mobile kunnen de eerste vier letters van een paswoord zien. Een gehasht paswoord kan niet uitgelezen worden, dus worden ze ergens als gewone tekst opgeslagen. En dat is illegaal. Ook al slaan ze alleen de eerste vier letters apart op.

Vermoedelijk doet T-Mobile dat niet alleen in Oostenrijk.

De eerste cross-site scripting attack is al gevonden...

Dit wordt de rel van de week. Vice heeft het ook al opgepikt:

https://motherboard.vice.com/en_us/article/7xdeby/t-mobile-stores-part-of-customers-passwords-in-plaintext-says-it-has-amazingly-good-security

Ik zou echt niet graag T-Mobile klant zijn. Sommige van hun servers blijken sinds 2011 geen updates meer gehad te hebben. Darkweb gonst van de aanvragen...

En ik zou nog minder graag voor de IT afdeling van T-Mobile werken. Hun weekend is alvast naar de haaien. En de rest van de maand eigelijk ook.

.

Ik ben ook klant bij T-Mobile, maar wat maakt het mij uit dat ze de eerste vier letters van mijn wachtwoord kunnen zien?

Ik gebruik verschillende wachtwoorden op verschillende plekken, dus zelfs met die vier letters wens ik ze veel succes. En als iemand toch toegang tot mijn account krijgt, volgens mij kunnen ze dan alleen mijn facturen inzien. Lijkt me ook niet erg interessant.

Netjes is het inderdaad niet, maar ik lig er ook niet wakker van.

@George

Dat kan best.

Maar dat paswoord geeft meteen ook toegang tot de T-Mobile helpdesk. Ze gebruiken die vier eerste letters nl. om je identiteit te verifiëren. En er zijn een aantal inbraken in de iCloud geweest door het nummer van de telefoon die gebruikt werd voor two factor authorisation te laten porteren naar een andere telefoon. En dat is maar één van de mogelijkheden als ze je nummer overnemen.

Niet meteen levensbedreigend, natuurlijk, maar een hoop sores als je zo je iphone moet missen (geen nummer meer) en je Mac wordt op afstand gelockt (2FA gaat naar een andere telefoon)...

En met die vier eerste letters gaat de tijd nodig om een paswoord te brute forcen van enkele weken naar enkele minuten per padwoord. Stel even dat iemand er in slaagt die volledige database te downloaden. Door die vier letters wordt het reëel mogelijk alle paswoorden te decoderen. Jij bent wijs genoeg om één paswoord per dienst te gebruiken. Maar hoeveel anderen doen dat niet?

...en je Mac wordt op afstand gelockt (2FA gaat naar een andere telefoon)...

Hoe zie jij dat voor je? Voor 2FA heb je dus -inderdaad- 2 factoren nodig: de telefoon, die dan geporteerd kunnen zijn naar een ander telefoon, maar ook het iCloud ww. En die komt zeker niet langs in deze 'lek'.

Vertel dat dan maar aan die mensen wiens icloud account zo gekraakt werd...

Het vereist wat social engineering, natuurlijk. Niet al te moeilijk voor wie eerst wat research doet. Zo is het bij GSM operators in de US gemeengoed iemands familienaam van de moeder te vragen als extra beveiliging. Het zelfde geldt voor de paswoord reset procedure via de telefoon voor icloud. Een paar standaard vraagjes, van een erg kort lijstje, met allemaal antwoorden waar wel achter te komen valt, tenzij je slachtoffer nonsens antwoorden geregistreerd heeft. Wat ik wel eens deed, maar dan wist ik ze zelf niet meer, later. Ik ben er toch in geslaagd het paswoord te resetten. Vraag me niet meer hoe, want dat verandert blijkbaar elke keer. Ik heb het al een aantal keer moeten doen, door dat hele oude email adres dat opduikt op de iphone.

Ik denk dat cyrano een punt heeft.

Waarschijnlijk niet voor de meesten van ons, wij zijn goed geïnformeerd en weten wat goede beveiliging inhoudt.

Maar dat geldt niet iedereen, en bedrijven zoals T-Mobile zouden daar rekening mee moeten houden.

Cyrano heeft geen punt. Want:
- de grote iCloud cyberaanval ('The Fappening') was vóór het invoeren van 2FA.
- de beveiligingsvragen waar hij het over heeft zijn ook van voor het 2FA tijdperk.
- hij doet de volgende aanname: vanuit het de eerst 4 bekende tekens van het Tmob ww kan iemand eerst de rest van het ww herleiden, vervolgens kan die persoon het bijbehorende telefoonnummer poorten naar een andere telefoon, zonder dat het nummer snel geblokkeerd wordt, vervolgens kan die persoon een bijbehorende iCloud account herleiden, waarvan hij vervolgens door social engineering het bijbehorende ww kan verkrijgen. Ik weet het: niks is onmogelijk. Maar de kans dat je in je weekendje weg naar Munster wordt doodgereden terwijl je op een terras zit, is een stuk groter, vermoed ik.

Maar het is natuurlijk veel leuker om urban myths in stand te houden, en mensen een beetje op de stang te jagen en bang te maken, dan je bij de feiten te houden, dat begrijp ik dan weer wel.

bedrijven zoals T-Mobile zouden daar rekening mee moeten houden.

Dat bedrijven een grote verantwoordelijkheid hebben in het onderhouden van een goede beveiliging een privacybeheer voor hun klanten, dmv goede informatie voorziening, bruikbare en begrijpelijke softwarematige oplossingen, een goed systeem om social engineering e.d te voorkomen, veilige hardware (servers), e.d., staat als een paal boven water.
Dus het is daarom zeker goed als hiaten worden opgezocht en getoond door mensen die daar lol in hebben.
Wil niet zeggen dat een gebruiker gelijk moet aanslaan en bang moet worden; dat moeten genoemde bedrijven doen.

De eerste cross-site scripting attack is al gevonden...

Ik snap het niet helemaal. Wat heeft een cross-site scripting attack te maken met in plaintext opgeslagen wachtwoorden in de T-mobile database?

Ik had verwacht dat Cyrano wel met een  antwoord zou komen.

Ik snap het niet helemaal. Wat heeft een cross-site scripting attack te maken met in plaintext opgeslagen wachtwoorden in de T-mobile database?

Op zich niks.

Maar T-mobile heeft een zeer slechte reputatie op 't gebied van security en alle voorgaande problemen waren het gevolg van een samenspel van factoren. In die zin is de XSS belangrijk.

Ik ga er trouwens niet nog eens op ingaan. Mensen die begrijpen hoe die dingen werken, kunnen zelf hun conclusies wel trekken.

Ik ga er trouwens niet nog eens op ingaan. Mensen die begrijpen hoe die dingen werken, kunnen zelf hun conclusies wel trekken.

Sterk, Cyrano, sterk.

De volgende flater is alweer klaar. Op Github zijn de paswoorden te vinden voor een aantal databases van T-Mobile:

https://www.golem.de/news/t-mobile-oesterreich-klartextpasswoerter-und-amazing-security-bei-t-mobile-at-1804-133713.html

En, nee, Flix, Ik zoek dat niet eens. Dat wandelt hier zomaar binnen.

De volgende flater is alweer klaar. Op Github zijn de paswoorden te vinden voor een aantal databases van T-Mobile

Van wat ik er uit begrijp is dat niet zo. Er staat een git-repository op enkele van de t-mobile sites zelf, en met de juiste tools is die te downloaden en zijn daar wachtwoorden in te vinden. Volgens mij is dat wat anders dan dat de wachtwoorden op GitHub staan.

Nog steeds een grote fout van T-mobile overigens hoor.

@Backspin: Klopt.

Maar de wachtwoorden zijn te vinden op github repositories. Of heb ik dat ook te snel gelezen?

Enfin, it's a never ending story. Ondertussen zijn er weeral een ander paar gaatjes opgedoken. Wat de taak van een potentiële inbreker wat vertraagt, in de praktijk, want die moet meerdere gaten testen...