Leben
Digital

Zwei-Faktor-Authentifizierung per SMS nicht so sicher wie gedacht

ILLUSTRATION - Cyberkriminelle bieten im Netz angebliche Nutzerdaten von Ticketmaster-Kunden an. Wer bei dem Konzertkartenanbieter ein Konto hat, sollte die Zugangsdaten ändern. (zu dpa: «Ticketmaster ...
Dem Chaos Computer Club ist der Zugriff auf Kundendaten eines SMS-Dienstleisters gelungen.Bild: dpa / Oliver Berg
Digital

Zwei-Faktor-Authentifizierung per SMS: Experten raten nach Leak dringend ab

14.07.2024, 14:36
Mehr «Leben»

Damit sich Unbefugte nicht in deinen E-Mail- oder Social-Media-Account einloggen können, nutzen viele Portale die Zwei-Faktor-Authentifizierung (2FA). Dabei wird beim Login neben dem Passwort ein zusätzliches Einmalkennwort abgefragt. Dieses kommt typischerweise per Mail, App oder SMS. So wird eine zusätzliche Sicherung eingebaut, wenn Hacker ein Passwort erbeuten.

Doch auch die 2FA ist vor Hackerangriffen nicht gefeit, wie jetzt der Chaos Computer Club (CCC), der sich mit Fragen der Cybersicherheit beschäftigt, zeigt. Den Netz-Aktivist:innen gelang es, auf mehrere Millionen Einmal-Kennwörter zuzugreifen, die per SMS für Accounts von Portalen wie Facebook oder Amazon verschickt wurden.

Watson ist jetzt auf Whatsapp
Jetzt auf Whatsapp und Instagram: dein watson-Update! Wir versorgen dich hier auf Whatsapp mit den watson-Highlights des Tages. Nur einmal pro Tag – kein Spam, kein Blabla, nur sieben Links. Versprochen! Du möchtest lieber auf Instagram informiert werden? Hier findest du unseren Broadcast-Channel.

Einmal-Kennwörter lagen auf ungeschütztem Server

Der CCC warnt vor davor, SMS als Methode zur Zwei-Faktor-Authentifizierung zu nutzen. Den Sicherheitsforschenden gelang es nach eigenen Angaben, an 2FA-Codes des SMS-Dienstleisters "IdentifyMobile" zu kommen. Dabei hatten sie Zugriff auf rund 200 Millionen Codes.

Von dem Leak waren über 200 Unternehmen betroffen, für die "IdentifyMobile" die 2FA per SMS übernimmt. Zur Kundschaft zählen laut dem CCC neben Google, Facebook, Amazon und Microsoft auch Telegram, Airbnb und DHL.

Um auf die sensiblen Daten zuzugreifen, brauchten die Aktivist:innen vom CCC keine technische Finesse. Laut "Zeit Online" waren die Kennwörter auf einem ungesicherten Server von Amazon einsehbar. Lediglich die Webadresse reichte demnach aus, um auf mehr als sechs Terrabyte an internen Verwaltungs- und Abrechnungsdaten sowie die SMS zu gelangen. Betroffen waren alle SMS, die "IdentifyMobile" seit August 2023 versendete.

Two factor authentication or 2FA and cyber security concept. Shield icon and numbers on smartphone screen in hand, access password to laptop, identity verification with PIN verification code number. x ...
Die Zwei-Faktor-Authentifizierung soll für zusätzliche Sicherheit sorgen.Bild: IMAGO / Pond5 Images

Neben den SMS seien auch Rufnummern der Empfänger:innen, Absendernamen und teilweise andere Account-Informationen einsehbar gewesen, berichtet der CCC. "Der CCC war zufällig zur richtigen Zeit am richtigen Ort und konnte die Daten einsehen. Hierzu genügte es, die Subdomain 'idmdatastore' zu raten", erklärt der Verein das Vorgehen.

Missbrauch allein mit Codes nicht möglich

Der Missbrauch der Daten wäre für Hacker mit den 2FA-Kennwörtern alleine nicht möglich gewesen. Dazu hätten sie noch das jeweilige Account-Passwort gebraucht. Doch viele Nutzer:innen verwenden leicht zu erratende Passwörter. Außerdem kursieren im Darknet Listen mit Zugangsdaten aus gehackten Accounts.

Der CCC bemängelt, dass "IdentifyMobile die Unternehmen und ihre Kund:innen durch Fahrlässigkeit einem großen Risiko ausgesetzt" habe. "Das zeigt sich nicht nur an den vielen gleichlautenden Anfragen von Datenschutz-Abteilungen aus allen Teilen der Welt, die uns nun auf allen Kanälen erreichen", berichtet der Verein.

Die Daten hätte der CCC "selbstverständlich" nicht behalten. Die Aktivist:innen könnten aber nicht garantieren, dass Dritte ebenfalls darauf zugegriffen haben.

Der Computerverein betont, dass die 2FA per SMS trotz der aufgedeckten Sicherheitslücke besser sei als kein zusätzlicher Faktor. Der CCC empfiehlt "One-time passwords" (OTPs). Das sind Einmalkennwörter, die per App generiert werden – unabhängig vom Mobilfunk.

Ozempic für Kinder? Abnehmspritze macht Fortschritte – Experte mahnt

Bereits zehn Jahre ist es her, dass Ozempic in den USA auf den Markt kam. Doch erst seit rund zwei Jahren ist das "am schlechtesten gehütete Geheimnis Hollywoods" in aller Munde. Auf die Abnehmspritze schwören seitdem Schauspieler:innen, Rockstars wie Politiker:innen.

Zur Story