Stellen Sie sich vor, jemand loggt sich in Ihr Tinder-Profil ein. Oder in Ihr PayPal-Konto. Oder in Ihre privaten Telegram-Kanäle. Und das, obwohl Sie diese Accounts nicht nur mit einem Passwort geschützt haben, sondern sich auch ein zusätzliches Einmalpasswort per SMS schicken ließen.

Klingt unangenehm bis schrecklich? Leider ist diese Gefahr durchaus real. Ursache war ein Problem bei dem britischen Massen-SMS-Versender IdentifyMobile. Das Unternehmen verschickt jeden Tag für zahlreiche Großkunden SMS in erheblicher Menge. Viele davon sind Teil der sogenannten Zwei-Faktor-Authentifizierung, kurz 2FA. Ein Konto wird dabei nicht nur per Passwort, sondern mit einer zweiten Sicherheitsmaßnahme geschützt – die dann zum Beispiel jedes Mal per SMS versandt wird. Doch wie der Chaos Computer Club entdeckte, landete jede SMS, die IdentifyMobile seit August 2023 im Auftrag anderer verschickt hatte, auf einem ungesicherten S3-Server des US-Unternehmens Amazon. Der gesamte Inhalt dieses Servers war für jeden lesbar, der dessen Webadresse kannte. Kein Passwort, keine Verschlüsselung schützte die Daten. ZEIT ONLINE konnte Einblick in diese Daten nehmen und sich von der Brisanz überzeugen, bevor der CCC sie aus Sicherheitsgründen wieder von seinen Systemen gelöscht hat.

Auf dem Server fanden sich insgesamt mehr als sechs Terabyte interne Verwaltungs- und Abrechnungsdaten und Unmengen SMS. In letzteren steckte der brisanteste Teil des Leaks: Hunderttausende SMS mit Einmalpasswörtern für Accounts bei Amazon, Airbnb, Temu, Google, Microsoft, Telegram, Tinder und vielen weiteren Diensten. Damit kann man sich zwar noch nicht direkt in ein Konto einloggen. Doch diese SMS sollen die eigentliche Hürde für Angreifer sein. Denn es gibt für Kriminelle zahlreiche Wege, an den ersten Faktor, das Passwort, zu gelangen. Etwa über Listen im Darknet, in denen Zugangsdaten aus gehackten Accounts gesammelt und gehandelt werden. Verbraucherschützer und Sicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen daher dringend, solche jeweils nur einmal verwendbaren zusätzlichen Faktoren zu nutzen, wo es nur geht.

Normalerweise ist das auch eine gute Idee. Der zweite, unabhängig vom ersten Passwort verschickte Faktor soll wie ein weiteres Schloss an der Tür wirken und es Angreifern sehr viel schwerer machen, in fremde Accounts einzudringen. Dieses zweite Schloss kann eine Authenticator-App sein, eine Abfrage auf einem anderen bekannten Gerät oder eben eine per SMS verschickte vier- bis sechsstellige Zahl. Doch wie ein treffendes Sprichwort besagt, ist eine Kette leider nur so stark wie ihr schwächstes Glied. Und wenn es um 2FA geht, war der britische Massen-SMS-Versender IdentifyMobile monatelang ein gefährlicher Schwachpunkt.

"IdentifyMobile hatte eine einzige Aufgabe"

Abgesehen von den Zwei-Faktor-SMS fanden sich auch zahlreiche One-Klick-Log-in-Links auf dem S3-Server. Sie arbeiten wie ein direkter Zugang zu dem jeweiligen Account, ohne dass ein Passwort eingegeben werden muss. Die sind für Kriminelle wie eine offene Tür: Sie haben sofort Zugriff darauf.

Einmalpasswörter und Einmallinks gelten aus Sicherheitsgründen nur für eine kurze Zeit, meist laufen sie nach 15 bis 30 Minuten ab und sind dann wertlos. Hier aber hätte dieser Schutz nicht gewirkt. Denn die Daten auf dem Server wurden alle fünf Minuten aktualisiert, er diente offenbar als ein Back-up-System des Unternehmens. Das aber bedeutet, alle fünf Minuten erschienen dort frische Accountinformationen, die noch lange genug gültig gewesen wären, um sie auszunutzen. 

Der Fall zeigt, wie abhängig wir inzwischen von Diensten sind, die die meisten Menschen gar nicht mehr kennen. IdentifyMobile ist ein Zwischenhändler in einer langen Kette von Anbietern, die zwischen den Nutzern einer App und den Betreibern derselben stehen. Das ist nicht nur schlecht. Dienstleister wie IdentifyMobile würden genutzt, weil sie sich auf einzelne Aufgaben spezialisierten und diese gut und sicher erfüllten, sagt Matthias Marx, einer der Sprecher des CCC, dazu. Problematisch werde es allerdings, wenn die Spezialisten ihren Job nicht machten. "IdentifyMobile hatte eine einzige Aufgabe: dafür zu sorgen, dass die SMS sicher zugestellt werden."

Angriffe auf solche Zwischenhändler, die viele Dienste versorgen, gelten außerdem als verheerend, weil auf einen Schlag verschiedene und vor allem sehr viele Bereiche und Kunden betroffen sind. Um die Größenordnung in diesem Fall zu verdeutlichen: IdentifyMobile wirbt damit, dass die Firma mit ihrem Angebot weltweit mehr als fünf Milliarden Menschen erreicht.

Erste Auswirkungen zeigen sich bereits. Einer der Nutzer des Angebotes von IdentifyMobile ist Twilio. Das börsennotierte Unternehmen aus den USA bietet cloudbasierte Telefoniedienste an. Für die Authentifizierung griff man offensichtlich auch auf IdentifyMobile zurück, denn Twilio informierte nun gerade seine zahlreichen Kunden über das Datenleck.