Telekom: Schnittstelle gibt Daten über (euren) Anschluss preis
Am Wochenende wäre es fast untergegangen, doch die Telekom hat sich offenbar einen Fauxpas erlaubt. Sicherheitsforscherin Lilith Wittmann hat eine Webseite erstellt (die auf eine offene Telekom-API zugreift), die bei Telekom-Kunden dafür sorgt(e), dass einige interessante Daten angezeigt wurden. Das funktioniert(e) allerdings nur bei Telekom-Festnetzanschlüssen für HOME- und Small-Business-Kunden.
Die Daten wurden über eine Schnittstelle der Telekom abgerufen – und sie zeigen nicht nur eine permanente ID, die IP (das kann mittlerweile jeder Dienst + x Sachen, die der Browser verrät), den Tarif, die Vorwahl, die Tarifnummer und die Download- / Upload-Infos. Dass solche Daten bei den Providern erfasst – und sicher auch für eine gewisse Zeit gespeichert – werden, dürfte klar sein, das mögliche Abrufen durch Dritte sollte aber sicherlich nicht so einfach möglich sein. Laut einiger, nicht aller Nutzer im Web, die das Ganze getestet haben, soll die permanente ID auch nach der Zuweisung einer neuen IP bestehen bleiben. Was die Telekom mit der Schnittstelle genau bezwecken will, ist unklar.
Update: Lilith hat inzwischen einen detaillierten Bericht veröffentlicht.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
joa, funktioniert leider nicht, obwohl ich sämtliche Voraussetzungen erfüllen sollte.
Wenn du einen Apple-Gerät benutzest, deaktiviere den iCloud Privat-Relay, der deine IP versteckt. In Safari kann man „IP-Adresse anzeigen“ wählen.
Wurde es vielleicht bereits geschlossen?
„Was die Telekom mit der Schnittstelle genau bezwecken will, ist unklar.“
Ein Klick auf die Pressemitteilung, die auf der verlinkten Website veröffentlicht wurde, genügt, um detailliert nachzulesen, was die Telekom mit der Schnittstelle bezwecken will …
Gabs zum Zeitpunkt der Veröffentlichung noch nicht.
Ich kann mir vorstellen, wofür das nützlich sein könnte: wenn man einen – auch gebrauchten – Telekom-Router hat, braucht man die Zugangsdaten nicht einzugeben, der Router erkennt diese automatisch.
Nicht nur bei Telekom Routern wenn man dieses easy Login Zeug aktiviert hat, bzw nicht selbstständig in Telekom Account deaktiviert. Was hier natürlich selbstverständlich sofort geschehen ist nachdem der Anschluss geschaltet wurde, da gucken die Support Mitarbeiter dann immer dumm aus der Wäsche falls mal einer da ist und sein Gerät anschließt, und er sich nicht automatisch verbinden kann. 🙂
„da gucken die Support-Mitarbeiter dann … falls mal einer da ist“
Was wollen die ständig bei Dir? Abhörgeräte installieren oder Verträge verkaufen? Hier war seit über zwanzig Jahren kein „Techniker“ mehr in der Wohnung.
Leistung am Limit, Powerline EMV störsendern in der Nachbarschaft usw, aber jetzt scheint zu laufen! 🙂
Scheinbar haben die Telekomiker schnell reagiert, bei mir gehts auch nicht mehr.
Welches Missbrauchspotential würde da nun bestehen?
Diese Drückerkolonnen, die vorgeben von der Telekom zu kommen, bekommen doch eh weitere Datenzugriffe.
Im Endeffekt kann jeder Webseite-Betreiber dich dank der permanenten ID auch über IP-Wechsel hinweg tracken und dank des Vorwahlbereichs auch deutlich genauer lokalisieren.
Wie schlimm das ist darf jeder für sich selbst einschätzen.
Im Grunde genommen ist das auch ohne diese API und die permanente ID möglich…
Wie genau denn? Fürs genaue Tracking über WLAN/GPS braucht es eine explizite Zustimmung.
Wenn du mehrere Geräte nutzt ist da ein Tracking auch nicht wirklich machbar. (Es sei denn natürlich bei eingeloggten Seiten)
Diese permanente ID hat(te) doch nur innerhalb der Telekom einen Wert.
Wenn eine App oder Webseite dich geolokalisiert hat, kann sie deine „anonyme“ Daten bestehend aus deiner Telekom-ID und deinen Koordinaten weiterverkaufen.
So kann jede App deinen Datensatz um weitere Informationen anreichern.
Am Ende weiß jede Webseite alles über dich.
Nö, die hat auch beim Werbetracking den Wert dass man eben _sicher_ weiß dass es der selbe Anschluss ist.
Der Wert solcher Infos bei der Werbung ist nicht zu unterschätzen.
Die wussten zumindest vor ein paar Jahren aber nie die Buchungskontonummer! Damit konnte man „echte“ Telekommitarbeiter von den mistigen Ranger immer unterscheiden!
Ob das heute auch noch so ist kann ich leider nicht sagen.
Die Telekom hat das Startup von Frau Wittmann übernommen. Die Sektkorken knallen.
https://lilithwittmann.medium.com/festnetz-cool-got-acquired-by-x-forward-for-ventures-der-deutschen-telekom-ag-d3fbe59f7365
Die Website von Wittmann wurde nun von der Telekom AG übernommen:
https://chaos.social/@Lilith/112790024301840063
Nach den bisherigen Tweets ist das ein Joke, eher ist die API dicht.
„festnetz.cool has been acquired by Deutsche Telekom AG“
ist jetzt zu lesen, wenn man die Site lädt
Ja, das ist eher sarkastisch gemeint.
versteh den Sarkasmus nicht :/
Liest denn heute keiner mehr Artikel vollständig, bevor er rumspekuliert oder Fragen stellt?
Letzter Satz der verlinkten Pressemitteilung:
„ PS. weil das wirklich Menschen fragen: Natürlich hat die Telekom mir keinen Cent bezahlt aber auf ihr Responsible Disclosure Programm hingewiesen.“
Ich gibt mehrere Quellen/Links und manche gehen eben nur auf die Website. Dort steht dies nicht. Man muss dort als Beispiel erst einmal zum Medium artikel weiter damit man es dort lesen kann. Nicht jeder hat die Lust jedes kleinste Bisschen durch zu arbeiten nur um dann auf ein P.S. zu stoßen.
Eigentlich ist das doch für einen Sicherheitsforscher (generisches Maskulinum!) Usus erst den Verursacher einer Sicherheitslücke zu informieren und ihm etwas Zeit zur Behebung zu bieten, bevor dann Details veröffentlicht werden (ja, angeblich konnte man aus den hier veröffentlichten Infos nicht auf die Herkunft der Daten schließen). Sonst hat jemand wirklich böses schon eine Geolocation-Datenbank aus eben diesen Line-IDs erstellt, bevor sich Montag bei der Telekom jemand dieser Sache annimmt.
Hoffentlich war hier nicht Aufmerksamkeitsbedürfnis der Motivator.
Was passiert denn wenn ich einen X-Forwarded-For Header an einen Server hinter einer Firewall schicke. Entfernt die Firewall immer solche Header, bevor sie eigene anhängt?
Die Headers sind standartmäßig doch verschlüsselt.
Bei einer unverschlüsselten Verbindung wird eher dein Browser meckern.
Das „euren“ kann man aus der Überschrift löschen, denn die API spuckte auch Daten für jede beliebige IP aus. Verbunden mit Werbedaten konnte man damit Anschlüsse blockgenau lokalisieren, siehe Liliths letzter Blogpost.
Warum wird so jemand nicht Digitalministerin?
Weil zu fähig und zu viel Ahnung …
Telekom hat die Seite bereits gekauft wenn man das da so liest. Bei mir da nix angezeigt außer eben dass man sich für einen sieben stelligen Betrag geeinigt hat
Hier ist noch so eine Seite von ihr
https://lilithwittmann.medium.com/festnetz-cool-got-acquired-by-x-forward-for-ventures-der-deutschen-telekom-ag-d3fbe59f7365
Wenn ich das richtig verstehe, hat Litith aufgezeigt, dass die Telekom die Daten der Kunden verkauft und ein Tracking ermöglicht.
IP-Adresse reicht, um die Anschlussdaten und eine ID zu bekommen.
Einmal erfasst, kann der Telekomkunde getrackt werden, auch über einen längeren Zeitraum
Telekom wurde erwischt, hat den „Service“ erstmal (?) deaktiviert.
Dürfte ein schwerwiegender DSGVO-Verstoß sein, von dem ruinierten Kundenvertrauen garnicht zu reden.
https://lilithwittmann.medium.com/festnetz-cool-got-acquired-by-x-forward-for-ventures-der-deutschen-telekom-ag-d3fbe59f7365