Damit sich Unbefugte nicht in deinen E-Mail- oder Social-Media-Account einloggen können, nutzen viele Portale die Zwei-Faktor-Authentifizierung (2FA). Dabei wird beim Login neben dem Passwort ein zusätzliches Einmalkennwort abgefragt. Dieses kommt typischerweise per Mail, App oder SMS. So wird eine zusätzliche Sicherung eingebaut, wenn Hacker ein Passwort erbeuten.
Doch auch die 2FA ist vor Hackerangriffen nicht gefeit, wie jetzt der Chaos Computer Club (CCC), der sich mit Fragen der Cybersicherheit beschäftigt, zeigt. Den Netz-Aktivist:innen gelang es, auf mehrere Millionen Einmal-Kennwörter zuzugreifen, die per SMS für Accounts von Portalen wie Facebook oder Amazon verschickt wurden.
Der CCC warnt vor davor, SMS als Methode zur Zwei-Faktor-Authentifizierung zu nutzen. Den Sicherheitsforschenden gelang es nach eigenen Angaben, an 2FA-Codes des SMS-Dienstleisters "IdentifyMobile" zu kommen. Dabei hatten sie Zugriff auf rund 200 Millionen Codes.
Von dem Leak waren über 200 Unternehmen betroffen, für die "IdentifyMobile" die 2FA per SMS übernimmt. Zur Kundschaft zählen laut dem CCC neben Google, Facebook, Amazon und Microsoft auch Telegram, Airbnb und DHL.
Um auf die sensiblen Daten zuzugreifen, brauchten die Aktivist:innen vom CCC keine technische Finesse. Laut "Zeit Online" waren die Kennwörter auf einem ungesicherten Server von Amazon einsehbar. Lediglich die Webadresse reichte demnach aus, um auf mehr als sechs Terrabyte an internen Verwaltungs- und Abrechnungsdaten sowie die SMS zu gelangen. Betroffen waren alle SMS, die "IdentifyMobile" seit August 2023 versendete.
Neben den SMS seien auch Rufnummern der Empfänger:innen, Absendernamen und teilweise andere Account-Informationen einsehbar gewesen, berichtet der CCC. "Der CCC war zufällig zur richtigen Zeit am richtigen Ort und konnte die Daten einsehen. Hierzu genügte es, die Subdomain 'idmdatastore' zu raten", erklärt der Verein das Vorgehen.
Der Missbrauch der Daten wäre für Hacker mit den 2FA-Kennwörtern alleine nicht möglich gewesen. Dazu hätten sie noch das jeweilige Account-Passwort gebraucht. Doch viele Nutzer:innen verwenden leicht zu erratende Passwörter. Außerdem kursieren im Darknet Listen mit Zugangsdaten aus gehackten Accounts.
Der CCC bemängelt, dass "IdentifyMobile die Unternehmen und ihre Kund:innen durch Fahrlässigkeit einem großen Risiko ausgesetzt" habe. "Das zeigt sich nicht nur an den vielen gleichlautenden Anfragen von Datenschutz-Abteilungen aus allen Teilen der Welt, die uns nun auf allen Kanälen erreichen", berichtet der Verein.
Die Daten hätte der CCC "selbstverständlich" nicht behalten. Die Aktivist:innen könnten aber nicht garantieren, dass Dritte ebenfalls darauf zugegriffen haben.
Der Computerverein betont, dass die 2FA per SMS trotz der aufgedeckten Sicherheitslücke besser sei als kein zusätzlicher Faktor. Der CCC empfiehlt "One-time passwords" (OTPs). Das sind Einmalkennwörter, die per App generiert werden – unabhängig vom Mobilfunk.