Vodafone Datendiebstahl: Bekennerschreiben taucht auf, verrät Vorgehensweise und Umfang der Daten

13. September 2013 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Bereits gestern morgen berichteten wir über den Datendiebstahl bei Vodafone. Vodafone teilte mit, dass es durch Insiderwissen möglich war, 2 Millionen Datensätze zu erbeuten. Mittlerweile soll bei einem Verdächtigen auch eine Hausdurchsuchung stattgefunden haben. In der Zwischenzeit ist ein Bekennerschreiben von Team_L4w per Mail verschickt worden und auch in meiner Inbox gelandet.

Vodafone Logo

In diesem Bekennerschreiben berichten die mutmaßlichen Menschen hinter dem Hack, wie sie an die Daten kamen und welchen Umfang diese tatsächlich haben. Ob es sich dabei um Trittbrettfahrer handelt, ist natürlich nicht verifizierbar, dennoch teile ich mal die Informationen auszugsweise hier:

Wie bereits in den Medien berichtet enthalten die Datenstämme jedoch neben den dort angegebenen Daten „Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer“ aber auch noch den Inhaber des Kontos (muss nicht immer Identisch mit dem Vertragsnehmer sein, wie wir feststellen
mussten), die jeweilige Handynummer des Kunden sowie die Anrede des Kunden (Herr/Frau/Firma). Auch haben wir bei einigen Kunden Vermerke gefunden wie z.B. „steht unter gesetzlicher Betreuung, gesetzliche Betreuerin ist Name/Adresse ect.“ oder dergleichen!!

Abweichend möchten wir auch ausführen, dass die von uns geleakten Daten keinesfalls „nur mit hoher krimineller Energie sowie Insiderwissen“ zu erlangen waren, indem wir in „die tief versteckt in der IT-Infrastruktur“ von Ihnen eingedrungen sein sollen!!

Wir haben die Daten auf einem, echt schlecht gesicherten Server, ohne weiteren Suchaufwand gefunden!! Der von Ihnen bzw. der Polizei vorgeführte Tatverdächtige hat absolut gar nichts mit dem Leak und dem Angriff auf Sie zu tun! Es ist ausschließlich sein Computer gewesen, welcher mit
entsprechender Schadsoftware von uns bei einem Besuch infiziert und dann als Zugang missbraucht wurde!! Er war und ist ausschließlich Mittel zum Zweck gewesen. Es wurde der Moment genutzt, als er nicht aufpasste und sich einem anderen Kunden widmete. Die notwendigen „Babys“ wurden mittels
USB-Stick ganz einfach innerhalb von 1-2 Minuten auf dem Computer installiert und fertig.

Wir hoffen, dass derjenige nicht zu sehr bestraft wird, da er wirklich nichts dafür kann! Wir haben nur Ihn ausgenutzt und die geleakten Daten auf seinem Computer zwischengespeichert, bevor wir die Daten im Hintergrund uns selbst übertragen haben.

Brief

Auch die Frage nach dem Warum erklären die vermeintlichen Hacker:

In erster Linie wollten wir Vodafone damit zeigen, was es heißt, wenn Daten ungesichert auf einem Server gelagert werden wo jeder Mitarbeiter (was ja nichtmal einer von Vodafone war, sondern nur ein Subunternehmer) Zugriff hat. Es ist zu keinem Zeitpunkt geplant gewesen, die Daten ins Internet zu stellen und so diese in die falschen Hände gelangen zu lassen. Uns ist jedoch beim Download aufgefallen, dass die Daten öfters heruntergeladen wurden, als wir Personen in unserem Team sind, nämlich insgesamt 5 Mal! Jeder von uns (3 Personen) hat diese Datei 1x erhalten, sodass 2 weitere Personen diese wohl erhalten und weiterverbreitet haben, sodass diese mittlerweile im Dark- und Internet mit ein bisschen suchen zu finden sind.

Der in den Medien als tatverdächtig genannte Mensch soll unschuldig sein:

Wir versichern hiermit nochmal eidesstattlich, dass der in den Medien genannte „Tatverdächtige“ keinesfalls vorsätzlich oder wissentlich an der Aktion mitgewirkt hat. Sollte er gestehen, so tut er es, weil er sicher Angst vor der Justiz hat und nicht weil er sich einer günstigeren Strafe entgegen sieht!! Er hat nichts damit zu tun!

Ob an dem Schreiben etwas dran ist, wird Vodafone bestätigen können, denn es wird eine genaue Uhrzeit der Kontaktaufnahme durch die Hacker genannt:

Es war niemals geplant diese Sache in die Öffentlichkeit zu bringen oder Vodafone zu erpressen oder dergleichen! Sondern wir wollten ausschließlich auf die Leakbeseitigung hinwirken, was ja geklappt hat! Wir haben auch per Email vom 04.09.2013, 09.12 Uhr an den Vodafone Kundendienst dieses Leak inkl. Screenshots sowie einem kompletten Datensatz im WinRAR-Format gemeldet.

Sollte sich dieser Brief als echt erweisen, dann wird – wie lesbar – sicherlich ein Vodafone-Store-Mitarbeiter, bzw. Subunternehmer in einem Mobilfunkshop infiltriert worden sein, da dieser anscheinend Zugriff auf die Kundendaten des Unternehmens hatte. Quasi, wie jeder, der an eine zentrale Datenbank angeschlossen ist, die bei Verträgen und Co nutzbar ist.

Update 13.09.2013, 15:00 Uhr. Vodafone bestreitet, dass Rufnummern von Kunden entwendet worden sein können:



Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22129 Artikel geschrieben.

45 Kommentare

Sven Hennig ✈ (@svhennig) 13. September 2013 um 08:19 Uhr

Das klingt mir ein bisschen sehr nach „wir sind unschuldig, der auch, aber Daten haben wir dennoch“ und hey, „falls was damit ist, da sind ja noch zwei „komische andere“, die sind böse und haben die Daten online gestellt.

Lars 13. September 2013 um 08:23 Uhr

Aber hey, sie versichern eidesstattlich 😀

user84203 13. September 2013 um 08:28 Uhr

LOL…wäre der Brief etwas „erwachsener“ geschrieben, würde ich das vielleicht sogar glauben. Aber so…no way…da erlauben sich Kiddies einen Spaß.

Emanuel-S 13. September 2013 um 08:30 Uhr

Etwas komisches „Bekennerschreiben“. Entweder sind die oder der sehr jung – oder: es klingt bisschen so, als ob Freunde den jetzigen Verdächtigen schützen möchten.

Gigi 13. September 2013 um 08:36 Uhr

Bin gespannt wie es weiter läuft, bis jetzt fast so gut wie Tatort :p

Sarah 13. September 2013 um 08:41 Uhr

Hey, kannst du bitte die komplette Mail im original veröffentlichten?

10tacle 13. September 2013 um 08:49 Uhr

Na gottseidank sind die alle auf studierter Ebene – welchem Level entspricht das in World of Warcraft? 😀

casey 13. September 2013 um 08:56 Uhr

Team_L4w … das kommt also dabei herum, wenn die Eltern den Internetzugang nicht kontrollieren o.O

Chriz 13. September 2013 um 08:56 Uhr

Wo bleibt die erste Leiche? #tatort

hihiho 13. September 2013 um 09:04 Uhr

lol noobs.
gebt euch das hier…

* http://webcache.googleusercont.....#038;gl=de (letzter beitrag)

* http://www.decerto.fr/index.ph.....l4w.39689/

* http://pastebin.com/DKDGU5wY (ab hier merkt man, dass das script-kiddies sind)

* und einiges mehr

Martin 13. September 2013 um 09:12 Uhr

Caschy nutzt selbst Adblock. 😉

caschy 13. September 2013 um 09:17 Uhr

@Martin: nein 😉 nur temporär oder auf Stammseiten nicht 🙂

Matze.B 13. September 2013 um 09:43 Uhr

Klingt einerseits plausibel – andererseits auch irgendwie zu glatt. Für einen ‚Tatort‘ fast schon zu langweilig.
Fachpersonal auf studierter Ebene – so klingt dieses Bekennerschreiben allerdings nicht.

Leandros 13. September 2013 um 09:55 Uhr

Team_L4w ist definitiv kein „no-name“. Man findet über Google einiges über die, also könnte es durchaus Plausibel sein.
Sieht trotzdem stark nach irgendwelchen Halbstarken Hackern aus, ist allerdings auch bei ca. 70 – 80% der Hacker so, von daher nichts ungewöhnliches.

michael.seehuber@gmx.de 13. September 2013 um 10:44 Uhr

Nun, das klingt sehr plausibel, besonders wenn man bedenkt, wie lasch viele Firmen mit ihren Daten und deren Zugang umgehen. Noch schlimmer wird es, wenn man mit deren ITler zu tun hat und sich wundert, daß diese quasi keine Ahnung haben.

Und da ja jeder Händler von denen quasi prüfen können muss, ob der Kunde nicht bereits existiert, sich die Bankverbindung geändert hat, usw. was man halt so in einem Vodafone Shop so alles erledigt, dann wundert es mich überhaupt nicht, daß so was passieren kann.

Die Firma verdient Unsummen, aber hat kein Geld für die interne Software und deren Absicherung. Peinlich !

Nico 13. September 2013 um 11:18 Uhr

Schlimm genug, aber Vodafone ist mit Sicherheit nicht das einzige Unternehmen, welches so schlampig mit Datensätze ihrer Kunden umgeht! Nach dem Motto: Solange nichts passiert, wird auch nichts sicherheitstechnisch gemacht.

Dani 13. September 2013 um 12:03 Uhr

Das liest sich, wie von einem 11jährigen geschrieben.

    OxKing 13. September 2013 um 12:20 Uhr

    Genau. „Wir haben nur ihn ausgenutzt…“
    Was denn das für ein Deutsch sein?
    Vielleicht wurde der Brief ja aber auch von Meister Yoda geschrieben! 😉

Nevermore 13. September 2013 um 12:18 Uhr

Sorry, das ist Bullshit wozu „die“ sich bekennen. Shop/Resellerrechner haben keine direkten Zugriff auf die betroffenen Systeme und Datenbanken. Der „in der Presse vorgeführte Mitabeiter“ war auch in keinem Shop tätig.

alibert 13. September 2013 um 12:53 Uhr

Wie kannst du dir so sicher sein?

Nevermore 13. September 2013 um 13:02 Uhr

@alibert: Rate mal in welcher IT ich arbeite.

Harry 13. September 2013 um 13:05 Uhr

Wer sich über die Rechtschreibung uns Ausdrucksform des Schreibens, bei gleichzeitiger Nennung von Studium etc. echauffiert, sollte bedenken, dass es da draußen genügend studierte Vollidioten gibt, ich kenne zumindest genügend davon. Ebenfalls existieren Menschen mit sogenannten Inselbegabungen. So muss ein guter Hacker nicht zwangsläufig auch eloquent sein. Ich bin auch kein Hacker, obwohl ich eines sauberen Schreibstils mächtig bin.

    rooobiee 13. September 2013 um 14:35 Uhr

    Sehe ich genauso, und wenn es nur script-kiddies sein solten: dann wäre die Angelegenheit noch schlimmer, da dann wirklich jeder darauf zugreifen könnte.

Lars 13. September 2013 um 13:45 Uhr

Vielleicht ist mit Sub eher ein Outsource Dienstleister wie z.B. buw..

Nevermore 13. September 2013 um 13:51 Uhr

Lars: Wohl kaum. Und „Sub“ ist generell falsch. Der Mensch wurde auch nicht outgesourced, sondern für nicht wenig Geld als Consultant eingekauft.

de13370r 13. September 2013 um 14:41 Uhr

btw: hier kann man überprüfen ob man betroffen ist: https://www.vodafone.de/privat/hilfe-support/kundeninformation-sind-meine-daten-betroffen.html
(ja, wirklich eine vodafone-seite). Wenn man zu den glücklichen gehört kriegt man aber wohl noch post…

Konstantin 13. September 2013 um 15:03 Uhr

so ein Schreiben ist kaum ein Beweismittel – weil es eben wenig Aufschluss über die Täter gibt – Bedeutet, mit dem Mittelsmann wird genau so hart verhandelt wie sonst auch immer, weil er die letzte zurückverfolgbare Person ist.
Mag ja gerne sein, dass damit Vodafone erst mal lernt, wie so etwas überhaupt möglich ist – aber für mehr ist das Schreiben dann auch nicht zu gebrauchen.

    Nevermore 13. September 2013 um 15:09 Uhr

    Wir sind was IT Sicherheit angeht nicht ganz dümmlich. Die Angriffsart, die diese Kiddies genutzt haben wollen funktioniert nicht.

bongo 13. September 2013 um 15:31 Uhr

Ruft mal bitte wer bei der Mutter an, ihr kleiner Bub braucht mal eine Backpfeife.

Patrick 13. September 2013 um 18:39 Uhr

Mich wundert es immer noch, warum sensible Daten wie Kontonummer und BLZ im Klartext in der Datenbank vorhanden sind. Bin mal gespannt wie das ausgeht..

Patrick 14. September 2013 um 22:15 Uhr

Naja Vodafone ist so oder so so ein komischer Verein…

Skeeve 15. September 2013 um 00:39 Uhr

Dieser Brief ist gewaltiger Unfug. Der genannte Mitarbeiter hat absolut nichts mit „Kunden“ zu tun, kann sich also nicht „einem anderen Kunden“ gewidmet haben.

Risenhuber 15. September 2013 um 12:22 Uhr

Mann kann heutzutage zwar vieles studieren, was vor Jahren noch den VHS vorbehalten war. Aber auch in diesen Hobbystudiengängen sollten Deutschkenntnisse, wie sie die „Bekenner“ als „Fachpersonal auf studierter Ebene“ offen legen, für ein frühes Ende sorgen.

Hausverwaltung Essen 15. September 2013 um 13:36 Uhr

Krasser Umstand. Zum einen versucht die NSA alle Daten abzugreifen. Zum anderen geht ein Riesen Provider so mit personenbezogenen Daten um…




Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.