Ist jemand von euch DSL-kunde bei O2?

Hach ja, das telefonieren über internet-protokolle ist eine tolle sache. Bei O2 wissen die nämlich, wie man das mit der autentifikazjon macht: über die IP-adresse. Mehr braucht es dort nicht:

[…] fiel bei seiner Arbeit auf, dass der Router initial die externe IP-Adresse des Kunden an den ACS überträgt […] Auch Heinrichs Client übertrug die IP an o2. Als der Forscher einmal vergaß, die vom Client übertragene IP nach einer Zwangstrennung anzupassen, erhielt der Client vom ACS die VoIP-Zugangsdaten eines anderen Kunden, dem die eingestellte IP offenbar inzwischen zugeteilt wurde. Heinrichs setzte anschließend die IP eines eingeweihten Bekannten ein, der ebenfalls bei o2 ist und erhielt prompt dessen Zugangsdaten. Heinrichs konnte mit den Daten problemlos auf Rechnung seines Bekannten telefonieren

Nur, falls ihr mal eine zu hohe telefonrechnung habt und keinen bock habt, die zu bezahlen — oder falls ihr eine zu hohe telefonrechnung der letzten monate nachträglich anfechten wollt, um eure geld zurückzukriegen. Die „kleine“ sicherheitslücke ist nämlich schon etwas länger bei O2 bekannt (hervorhebung von mir):

Nachdem das ganze Ausmaß des Problems klar geworden war, informierte der Forscher im Oktober 2014 den Provider o2

Es scheint O2 nämlich scheißegal zu sein, ob die kunden von irgendwelchen dritten abgezockt werden oder nicht. Scheißegal? Aber nein doch, verschwiegen werden sollte es auch noch:

Im Dezember 2015 baten wir die O2-Mutter Telefónica um eine Stellungnahme zu den Ereignissen – also über ein Jahr, nachdem das Unternehmen über das Sicherheitsproblem informiert wurde. Einige Tage später meldete sich das Unternehmen mit der Bitte, die Veröffentlichung um mehrere Monate zu verschieben

Meiner bescheidenen meinung nach — ich bin kein jurist — rechtfertigt dieses verhalten auch ein sonderkündigungsrecht. Man kann es zumindest behaupten, wenn man aus einen vertrag mit O2 raus möchte.

Ach ja, und übrigens: Wer kunde bei 1&1 ist (wie vielleicht manchmal zwischen den zeilen deutlich wird, ist das eine andere hassfirma, die bei mir inzwischen einen genau so großen ekel wie die deutschen telekomiker auslöst): Da läuft DSL oft über die infrastruktur von O2. Ich weiß aber nicht, ob die auch betroffen sind, denn 1&1 betreibt eigene SIP-sörver und hat eigene (zwangs)router. Und so sehr ich 1&1 verachte, ich glaube nicht, dass die dort so scheppernd dumm sind, dass sie die IP-adresse für ein geeignetes merkmal für eine benutzerautentifizierung halten und sich in fünfzehn monaten nix anderes einfallen lassen können.

Natürlich kann man unter bezugnahme auf diesen irrsinn auch eine abmahnung wegen „filesharing“ anfechten — der nachweis, dass man es wirklich selbst war, dürfte angesichts derartiger scheunentore bei O2 unmöglich sein.

Eine Antwort zu “Ist jemand von euch DSL-kunde bei O2?

  1. Danke fuers wachsam halten!! Und mal ne Frage eines nicht so bewanderten, der den tausend fohren nur ungern glaubt: empfehlung fuer nen provider?

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.