Vodafone Datendiebstahl: Bekennerschreiben taucht auf, verrät Vorgehensweise und Umfang der Daten

Bereits gestern morgen berichteten wir über den Datendiebstahl bei Vodafone. Vodafone teilte mit, dass es durch Insiderwissen möglich war, 2 Millionen Datensätze zu erbeuten. Mittlerweile soll bei einem Verdächtigen auch eine Hausdurchsuchung stattgefunden haben. In der Zwischenzeit ist ein Bekennerschreiben von Team_L4w per Mail verschickt worden und auch in meiner Inbox gelandet.

Vodafone Logo

[werbung]

In diesem Bekennerschreiben berichten die mutmaßlichen Menschen hinter dem Hack, wie sie an die Daten kamen und welchen Umfang diese tatsächlich haben. Ob es sich dabei um Trittbrettfahrer handelt, ist natürlich nicht verifizierbar, dennoch teile ich mal die Informationen auszugsweise hier:

Wie bereits in den Medien berichtet enthalten die Datenstämme jedoch neben den dort angegebenen Daten „Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer“ aber auch noch den Inhaber des Kontos (muss nicht immer Identisch mit dem Vertragsnehmer sein, wie wir feststellen
mussten), die jeweilige Handynummer des Kunden sowie die Anrede des Kunden (Herr/Frau/Firma). Auch haben wir bei einigen Kunden Vermerke gefunden wie z.B. „steht unter gesetzlicher Betreuung, gesetzliche Betreuerin ist Name/Adresse ect.“ oder dergleichen!!

Abweichend möchten wir auch ausführen, dass die von uns geleakten Daten keinesfalls „nur mit hoher krimineller Energie sowie Insiderwissen“ zu erlangen waren, indem wir in „die tief versteckt in der IT-Infrastruktur“ von Ihnen eingedrungen sein sollen!!

Wir haben die Daten auf einem, echt schlecht gesicherten Server, ohne weiteren Suchaufwand gefunden!! Der von Ihnen bzw. der Polizei vorgeführte Tatverdächtige hat absolut gar nichts mit dem Leak und dem Angriff auf Sie zu tun! Es ist ausschließlich sein Computer gewesen, welcher mit
entsprechender Schadsoftware von uns bei einem Besuch infiziert und dann als Zugang missbraucht wurde!! Er war und ist ausschließlich Mittel zum Zweck gewesen. Es wurde der Moment genutzt, als er nicht aufpasste und sich einem anderen Kunden widmete. Die notwendigen „Babys“ wurden mittels
USB-Stick ganz einfach innerhalb von 1-2 Minuten auf dem Computer installiert und fertig.

Wir hoffen, dass derjenige nicht zu sehr bestraft wird, da er wirklich nichts dafür kann! Wir haben nur Ihn ausgenutzt und die geleakten Daten auf seinem Computer zwischengespeichert, bevor wir die Daten im Hintergrund uns selbst übertragen haben.

Brief

Auch die Frage nach dem Warum erklären die vermeintlichen Hacker:

In erster Linie wollten wir Vodafone damit zeigen, was es heißt, wenn Daten ungesichert auf einem Server gelagert werden wo jeder Mitarbeiter (was ja nichtmal einer von Vodafone war, sondern nur ein Subunternehmer) Zugriff hat. Es ist zu keinem Zeitpunkt geplant gewesen, die Daten ins Internet zu stellen und so diese in die falschen Hände gelangen zu lassen. Uns ist jedoch beim Download aufgefallen, dass die Daten öfters heruntergeladen wurden, als wir Personen in unserem Team sind, nämlich insgesamt 5 Mal! Jeder von uns (3 Personen) hat diese Datei 1x erhalten, sodass 2 weitere Personen diese wohl erhalten und weiterverbreitet haben, sodass diese mittlerweile im Dark- und Internet mit ein bisschen suchen zu finden sind.

Der in den Medien als tatverdächtig genannte Mensch soll unschuldig sein:

Wir versichern hiermit nochmal eidesstattlich, dass der in den Medien genannte „Tatverdächtige“ keinesfalls vorsätzlich oder wissentlich an der Aktion mitgewirkt hat. Sollte er gestehen, so tut er es, weil er sicher Angst vor der Justiz hat und nicht weil er sich einer günstigeren Strafe entgegen sieht!! Er hat nichts damit zu tun!

Ob an dem Schreiben etwas dran ist, wird Vodafone bestätigen können, denn es wird eine genaue Uhrzeit der Kontaktaufnahme durch die Hacker genannt:

Es war niemals geplant diese Sache in die Öffentlichkeit zu bringen oder Vodafone zu erpressen oder dergleichen! Sondern wir wollten ausschließlich auf die Leakbeseitigung hinwirken, was ja geklappt hat! Wir haben auch per Email vom 04.09.2013, 09.12 Uhr an den Vodafone Kundendienst dieses Leak inkl. Screenshots sowie einem kompletten Datensatz im WinRAR-Format gemeldet.

Sollte sich dieser Brief als echt erweisen, dann wird – wie lesbar – sicherlich ein Vodafone-Store-Mitarbeiter, bzw. Subunternehmer in einem Mobilfunkshop infiltriert worden sein, da dieser anscheinend Zugriff auf die Kundendaten des Unternehmens hatte. Quasi, wie jeder, der an eine zentrale Datenbank angeschlossen ist, die bei Verträgen und Co nutzbar ist.

Update 13.09.2013, 15:00 Uhr. Vodafone bestreitet, dass Rufnummern von Kunden entwendet worden sein können:

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

45 Kommentare

  1. Das klingt mir ein bisschen sehr nach „wir sind unschuldig, der auch, aber Daten haben wir dennoch“ und hey, „falls was damit ist, da sind ja noch zwei „komische andere“, die sind böse und haben die Daten online gestellt.

  2. Aber hey, sie versichern eidesstattlich 😀

  3. LOL…wäre der Brief etwas „erwachsener“ geschrieben, würde ich das vielleicht sogar glauben. Aber so…no way…da erlauben sich Kiddies einen Spaß.

  4. Etwas komisches „Bekennerschreiben“. Entweder sind die oder der sehr jung – oder: es klingt bisschen so, als ob Freunde den jetzigen Verdächtigen schützen möchten.

  5. Bin gespannt wie es weiter läuft, bis jetzt fast so gut wie Tatort :p

  6. Hey, kannst du bitte die komplette Mail im original veröffentlichten?

  7. Na gottseidank sind die alle auf studierter Ebene – welchem Level entspricht das in World of Warcraft? 😀

  8. Team_L4w … das kommt also dabei herum, wenn die Eltern den Internetzugang nicht kontrollieren o.O

  9. Wo bleibt die erste Leiche? #tatort

  10. Caschy nutzt selbst Adblock. 😉

  11. @Martin: nein 😉 nur temporär oder auf Stammseiten nicht 🙂

  12. Klingt einerseits plausibel – andererseits auch irgendwie zu glatt. Für einen ‚Tatort‘ fast schon zu langweilig.
    Fachpersonal auf studierter Ebene – so klingt dieses Bekennerschreiben allerdings nicht.

  13. Team_L4w ist definitiv kein „no-name“. Man findet über Google einiges über die, also könnte es durchaus Plausibel sein.
    Sieht trotzdem stark nach irgendwelchen Halbstarken Hackern aus, ist allerdings auch bei ca. 70 – 80% der Hacker so, von daher nichts ungewöhnliches.

  14. michael.seehuber@gmx.de says:

    Nun, das klingt sehr plausibel, besonders wenn man bedenkt, wie lasch viele Firmen mit ihren Daten und deren Zugang umgehen. Noch schlimmer wird es, wenn man mit deren ITler zu tun hat und sich wundert, daß diese quasi keine Ahnung haben.

    Und da ja jeder Händler von denen quasi prüfen können muss, ob der Kunde nicht bereits existiert, sich die Bankverbindung geändert hat, usw. was man halt so in einem Vodafone Shop so alles erledigt, dann wundert es mich überhaupt nicht, daß so was passieren kann.

    Die Firma verdient Unsummen, aber hat kein Geld für die interne Software und deren Absicherung. Peinlich !

  15. Schlimm genug, aber Vodafone ist mit Sicherheit nicht das einzige Unternehmen, welches so schlampig mit Datensätze ihrer Kunden umgeht! Nach dem Motto: Solange nichts passiert, wird auch nichts sicherheitstechnisch gemacht.

  16. Das liest sich, wie von einem 11jährigen geschrieben.

    • Genau. „Wir haben nur ihn ausgenutzt…“
      Was denn das für ein Deutsch sein?
      Vielleicht wurde der Brief ja aber auch von Meister Yoda geschrieben! 😉

  17. Sorry, das ist Bullshit wozu „die“ sich bekennen. Shop/Resellerrechner haben keine direkten Zugriff auf die betroffenen Systeme und Datenbanken. Der „in der Presse vorgeführte Mitabeiter“ war auch in keinem Shop tätig.

  18. Wie kannst du dir so sicher sein?

  19. @alibert: Rate mal in welcher IT ich arbeite.

  20. Wer sich über die Rechtschreibung uns Ausdrucksform des Schreibens, bei gleichzeitiger Nennung von Studium etc. echauffiert, sollte bedenken, dass es da draußen genügend studierte Vollidioten gibt, ich kenne zumindest genügend davon. Ebenfalls existieren Menschen mit sogenannten Inselbegabungen. So muss ein guter Hacker nicht zwangsläufig auch eloquent sein. Ich bin auch kein Hacker, obwohl ich eines sauberen Schreibstils mächtig bin.

    • Sehe ich genauso, und wenn es nur script-kiddies sein solten: dann wäre die Angelegenheit noch schlimmer, da dann wirklich jeder darauf zugreifen könnte.

  21. Vielleicht ist mit Sub eher ein Outsource Dienstleister wie z.B. buw..

  22. Lars: Wohl kaum. Und „Sub“ ist generell falsch. Der Mensch wurde auch nicht outgesourced, sondern für nicht wenig Geld als Consultant eingekauft.

  23. btw: hier kann man überprüfen ob man betroffen ist: https://www.vodafone.de/privat/hilfe-support/kundeninformation-sind-meine-daten-betroffen.html
    (ja, wirklich eine vodafone-seite). Wenn man zu den glücklichen gehört kriegt man aber wohl noch post…

  24. so ein Schreiben ist kaum ein Beweismittel – weil es eben wenig Aufschluss über die Täter gibt – Bedeutet, mit dem Mittelsmann wird genau so hart verhandelt wie sonst auch immer, weil er die letzte zurückverfolgbare Person ist.
    Mag ja gerne sein, dass damit Vodafone erst mal lernt, wie so etwas überhaupt möglich ist – aber für mehr ist das Schreiben dann auch nicht zu gebrauchen.

    • Wir sind was IT Sicherheit angeht nicht ganz dümmlich. Die Angriffsart, die diese Kiddies genutzt haben wollen funktioniert nicht.

  25. Ruft mal bitte wer bei der Mutter an, ihr kleiner Bub braucht mal eine Backpfeife.

  26. Mich wundert es immer noch, warum sensible Daten wie Kontonummer und BLZ im Klartext in der Datenbank vorhanden sind. Bin mal gespannt wie das ausgeht..

  27. Naja Vodafone ist so oder so so ein komischer Verein…

  28. Dieser Brief ist gewaltiger Unfug. Der genannte Mitarbeiter hat absolut nichts mit „Kunden“ zu tun, kann sich also nicht „einem anderen Kunden“ gewidmet haben.

  29. Mann kann heutzutage zwar vieles studieren, was vor Jahren noch den VHS vorbehalten war. Aber auch in diesen Hobbystudiengängen sollten Deutschkenntnisse, wie sie die „Bekenner“ als „Fachpersonal auf studierter Ebene“ offen legen, für ein frühes Ende sorgen.

  30. Hausverwaltung Essen says:

    Krasser Umstand. Zum einen versucht die NSA alle Daten abzugreifen. Zum anderen geht ein Riesen Provider so mit personenbezogenen Daten um…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.