- OBSOC
-
Das Online Business Solution Operation Center ist eine von der T-Com konzernweit eingesetzte Datenbank zur Verwaltung von Kunden- und Vertragsdaten. Zum einen ist diese zentrale Verwaltung dazu gedacht, den Kunden eine einfache Möglichkeit zu geben, bestimmte Vertragsdaten selbst online ändern zu können. Außerdem haben T-Com-Mitarbeiter damit, je nach Berechtigung, vollen Schreibzugriff auf alle Daten.
Das System kam Ende Juli 2004 in Verruf, als der Chaos Computer Club in seiner Zeitschrift Die Datenschleuder auf gravierende Sicherheitsmängel hinwies. So konnte man, einmal authentifiziert, einfach die Vertragsnummer in der Adressleiste seines Browsers ändern und hatte somit Zugriff auf Daten beliebiger Kunden. Des Weiteren benutzten die Mitarbeiter der T-Com teilweise triviale Passwörter (z.B. Passwort=Benutzername). Über bestimmte Verwaltungsscripte war es außerdem möglich, mittels Directory Traversal direkt auf die Laufwerke des unter Microsoft Windows laufenden Servers zuzugreifen.
Weblinks
- Datenschleuder 83, Artikel auf Seite 16-21. (PDF; 1,06 MB)
Wikimedia Foundation.
