Kunde hatte die Schwachstelle entdeckt
Dabei hatte sich ein Vodafone-Kunde, der selbst Quality Assurance Engineer ist, zunächst an Vodafone gewendet, um das Unternehmen auf einen fatalen Fehler hinzuweisen, der Nutzerdaten gefährdete und theoretisch weitreichende Folgen haben konnte. Es kam aber keinerlei Reaktion auf die Kontaktversuche und die Erklärungen, die der Kunde an das Unternehmen sendete. Nachdem Vodafone sich nicht meldete, schrieb der Kunde die Redaktion von c't und Heise Security an, die sich des Falles annahmen. Wie sich herausstellte, konnte im August ohne Probleme von der Redaktion eingeschleuster Code auf den Vodafone-Webseiten ausgeführt werden.Hohes Missbrauchspotential
Heise erkannte dabei so wie der Kunde ein hohes Missbrauchspotential und erklärte das an einem konkreten Beispiel, mit dem Internetbetrüger immer wieder versuchen, Kasse zu machen:"Im Fall von Vodafone wäre es höchstwahrscheinlich möglich gewesen, persönliche Daten sowie Rechnungen einzusehen und sogar eine Rufumleitung einzurichten. Das ist eine gängige Methode, um schnelle Kasse zu machen: Angreifer lassen Rufnummern zu teuren Premiumrufnummern oder ins Ausland umleiten und verdienen an den horrenden Verbindungskosten mit. Die Opfer bemerken den Betrug häufig erst mit der nächsten Telefonrechnung, die astronomisch hoch ausfällt", so Heise.
Vodafone meldete sich beim Kontaktversuch von Heise zumindest schnell zurück. Schließlich gab man bekannt, dass die Sicherheitslücke bekannt war und dass man sie mittlerweile beheben konnte. Zudem unterstrich Vodafone, dass es keinerlei Hinweise über Missbrauchsfälle oder Auffälligkeiten in Verbindung mit der Schwachstelle gab. Warum das Unternehmen das nicht auch dem Melder des Sicherheitsproblems einfach transparent mitteilen konnte, bleibt unklar.
Großer Internet-Vergleichs-Rechner