Mike Kuketz
6. April 2018 | 21:50 Uhr

T-Mobile Austria: Nutzerpasswörter im Klartext gespeichert

Verfolgt mal diese Twitter-Diskussion [Diskussion entfernt].

Frage von Claudia Pellegrino:

Does T-Mobile Austria in fact store customers’ passwords in clear text @tmobileat? @PWTooStrong @Telekom_hilft

Antwort von SeloX:

Had the same issue with T-Mobile Austria. Apparently they are saving the password in clear because employees have access to them (you have tell them your password when you’re taking to them on the phone or in a shop) and they are not case sensitive

Antwort T-Mobile Austria:

Hello Claudia! The customer service agents see the first four characters of your password. We store the whole password, because you need it for the login for http://mein.t-mobile.at ^andrea

T-Mobile Austria legt die Passwörter der Nutzer demnach im Klartext in einer Datenbank ab. Im K-L-A-R-T-E-X-T. Da muss nur ein übel gelaunter Mitarbeiter mal die Datenbank mitgehen lassen und er hätte sofort Zugriff auf alle E-Mail-Konten. Oder jemand verschafft sich von außen unautorisierten Zugriff und kopiert die Datenbank – die Passwörter liegen im Klartext vor, da freut sich jeder Ganove.

Liebe T-Mobile Austria Mitarbeiter, genau für solche Fälle wurden mal Hashfunktionen entwickelt. Aber das scheint T-Mobile Austria nicht zu benötigen, weil T-Mobile Austria sagt:

Hi @c_pellegrino, I really do not get why this is a problem. You have so many passwords for evey app, for every mail-account and so on. We secure all data very carefully, so there is not a thing to fear. ^Käthe

Und auf die Frage von Eric:

Well, what if your infrastructure gets breached and everyone’s password is published in plaintext to the whole wide world?

antwortet T-Mobile Austria:

@Korni22 What if this doesn’t happen because our security is amazingly good? ^Käthe

Vielleicht sollte jemand die Mitarbeiter bei T-Mobile Austria informieren, dass der 1. April schon seit Tagen vorbei ist…

Hinweis

Wenn man sich die Antworten und Reaktionen auf Twitter so anschaut, sollte man einigen auch dringend mal den Unterschied zwischen einer Verschlüsselung und einem Hash erläutern.
Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
Facebook Blowout
4. Januar 2022

Facebooks Daten-Blowouts: Eine Verständnisbrücke Teil1

Trotz der zahlreichen Skandale ist eine effektive Regulierung von Facebook bisher ausgeblieben. Weshalb ist das so und warum wird es noch weitere Datenskandale geben?
Microblog
20. November 2020

Rückmeldung von Daniel Micay: GrapheneOS-Entwickler

Daniel Micay hat den Beitrag zu GrapheneOS gelesen. Nachfolgend seine (englischen) Antworten bzw. Reaktionen zu unterschiedlichen Themen aus dem Beitrag.…
Syncthing
9. Februar 2021

Syncthing: KeePass-Datenbank zwischen PC und Android synchronisieren – Passwörter Teil3

Mit Syncthing könnt ihr eure Passwort-Datenbank zwischen Desktop-PC und Android-Gerät stets synchron bzw. auf gleichen Stand halten.
CalyxOS
10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.
South Korea Corona
30. August 2021

Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse

Eine Datenschutz-Analyse: Wer wird nach der Pandemie auf die äußerst sensiblen Gesundheitsdaten in Südkorea aufpassen, die im Zuge der Pandemiebekämpfung angehäuft wurden?
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.