In nur einem Schritt ließ sich das Passwort für den Login ins Online-Kundenzentrum ändern.
Dort einsehbar sind unter anderem Name, Adresse, Telefonnummer und E-Mail.
Update: "3" hat seine Kunden informiert und die Lücke nach eigenen Angaben behoben.
Eine schwere Sicherheitslücke bei "3" hat den Zugriff auf den Administrationsbereich aller Mobilfunk-Kunden ermöglicht. Dazu reichte allein die Kenntnis der jeweiligen Rufnummer. Betroffen sind die mobile Webversion, als auch die zugehörige "3Kundenzone"-App.
PIN-SMS als einziger Hinweis
Das Eindringen in ein fremdes Konto war ohne großem Aufwand möglich. Es genügte die Anforderung eines PINs zur Änderung des aktuellen Passworts. Anschließend war die Abfrage fehlerhaft – es reichte die Eingabe eines beliebigen PINs, um das Passwort zu ändern und sich Zugriff auf das der Nummer zugeordnete Konto zu verschaffen. Der einzige Hinweis auf den Vorgang, den die betroffene Person erhalten hatte, war die SMS mit dem eigentlichen Rücksetzungs-PIN.
Alle mobilen Plattformen betroffen
Der WebStandard konnte das Problem sowohl für das Formular zur Passwortrücksetzung der mobilen Webversion als auch für die Android-App verifizieren. Ein Leser bestätigte das Problem auch für die iOS-Version. Da die Ursache, wie "3" auf Anfrage zu Protokoll gab, auf Seiten der Server des Unternehmens liegt, war auch die Ausgabe für Windows Phone betroffen, da stets auf das gleiche System zurückgegriffen wird. Sicher war laut dem Mobilfunker allerdings die Version für Desktop-Browser, wo die PIN-Abfrage stets ordnungsgemäß funktionierte.
Kontaktadresse, Vertragsinformationen, Sprachnachrichten
Nach dem Login stand der komplette Kundenbereich der jeweiligen Nummer offen. Dort sind unter anderem Vertrags- und Rechungs-Adresse, Kontaktdaten, Tarif und Zusatzpakete nebst Laufzeit sowie das gewählte Endgerät hinterlegt. Zudem kann der aktuelle Verbrauch an Gesprächszeit, SMS und Daten eingesehen werden.
Es ist darüber hinaus möglich, über das Kontaktformular im Namen des Kontoinhabers Kontakt zu "3" aufzunehmen als auch den "3Box"-Webmail-Dienst zu verwenden. Über letzteren sind auch in der Mobilbox hinterlegte Sprachnachrichten zugänglich. Einzig die Änderung von Daten oder Angeboten gelingt erst durch die Eingabe des Kundenkennworts, welches sich vom Passwort für die Kundenzone in der Regel unterscheidet.
Problembehebung eingeleitet
Auf den Hinweis des WebStandard hat "3" nun reagiert. Die Passwortwiederherstellung wurde vorerst für alle deaktiviert. An der Erforschung der Ursache und Behebung des Problems wird gearbeitet. Dazu wird ermittelt, wieviele Kunden betroffen waren. Die Lücke könnte seit etwa einer Woche bestehen, als man laut dem Unternehmen auf ein neues Sicherheitssystem umgestellt hat. Auch das soll aber noch herausgefunden werden.
Update, 26.09.2013:
"3" hat seine Kunden nun per E-Mail informiert und nach eigenen Angaben die Lücke geschlossen. Die Kunden müssen sich jedoch neu für die Online-Kundenzone anmelden. (Georg Pichler, derStandard.at, 24.09.2013)