Themenspezial: Verbraucher & Service Unsicher

Bericht: Aldi Talk speichert Passwort-Teile unsicher ab

Teile der Passwörter von Aldi-Talk-Kunden sind den Mitarbeitern der Service-Hotline des Discounters zugänglich. Die kompletten Kennwörter sind laut Telefónica gehasht gespeichert.
Von

Sicherheitslücke bei Aldi Talk Sicherheitslücke bei Aldi Talk
Logo: Aldi, Grafik/Montage: teltarif.de Der Prepaid-Discounter Aldi Talk erfreut sich einer großen Beliebt­heit. Das im Mobil­funk­netz der Telefónica reali­sierte Produkt bietet güns­tige Preise. Dabei müssen die Kunden nicht auf den Zugang zum LTE-Netz verzichten. Auch Tele­fo­nate über 4G und WLAN sind möglich, was die Prepaid-Marken im Telefónica-Netz derzeit von ihren Mitbe­wer­bern im Telekom- und Voda­fone-Netz abhebt.

Mit der Daten­si­cher­heit nimmt es der Discounter einem Golem-Bericht zufolge offenbar nicht ganz so genau. Den Angaben zufolge werden nämlich Teile des persön­li­chen Pass­worts im Klar­text gespei­chert. Das sei aufge­fallen, indem ein Kunde die Hotline anrief und der Mitar­beiter am Telefon darum bat, die ersten vier Buch­staben des Kenn­worts zu nennen. Das wiederum macht nur dann Sinn, wenn die Kunden­be­treuung auf diese Daten auch zugreifen kann.

Telefónica: Voll­stän­dige Pass­wörter gehasht gespei­chert

Sicherheitslücke bei Aldi Talk Sicherheitslücke bei Aldi Talk
Logo: Aldi, Grafik/Montage: teltarif.de Liegen die Kunden-Pass­wörter mögli­cher­weise sogar komplett unge­schützt auf Servern von Telefónica, das für Medion das Aldi-Talk-Produkt betreut? Das ist nach Angaben der Telefónica-Pres­se­stelle nicht der Fall. Auf die erste Nach­frage der Kollegen sprach der Netz­be­treiber davon, die Pass­wörter seien verschlüs­selt gespei­chert. Auch diese Vari­ante bietet aller­dings nicht die best­mög­liche Sicher­heit.

Später korri­gierte sich Telefónica: Die voll­stän­digen Pass­wörter werden demnach gehasht gespei­chert. Das hat dem Bericht zufolge den Vorteil, dass es selbst dann, wenn ein Angreifer sich unbe­rech­tigten Zugriff auf die Daten­bank verschafft, nahezu unmög­lich wäre, an die Login-Infor­ma­tionen zu kommen. Der Vorgang sei - falls über­haupt möglich - sehr rechen­auf­wändig und bei längeren Pass­wör­tern prak­tisch nicht durch­führbar.

Hotline hat Zugriff auf Pass­wort-Teile

Wie es weiter heißt, räumte der Netz­be­treiber aber auch ein, dass die ersten vier Buch­staben der Kunden-Pass­wörter für die Service-Hotline separat abge­legt werden. Die Pres­se­stelle bestä­tigte demnach entspre­chende Kunden-Berichte. Unpro­ble­ma­tisch ist diese Vorge­hens­weise nicht, denn es ist nicht ausge­schlossen, aus den ersten Buch­staben Rück­schlüsse auf das gesamte Kenn­wort zu ziehen.

Aldi-Talk-Kunden sei empfohlen, ein möglichst langes Pass­wort auszu­wählen, um die Gefahr, dass sich Unbe­rech­tigte Zugriff zu den Daten zur Prepaid­karte verschaffen, so gering wie möglich zu halten. In einer weiteren Meldung berichten wir darüber, wie Aldi Talk die Nutzung der Kunden-App derzeit mit zusätz­li­chem Daten­vo­lumen belohnt.

Mehr zum Thema ALDI TALK