Student hackte über Mobilfunk Netflix-Konten

David Wind deckt Sicherheitslücke mittels Voicemail-Hacking auf

Die Caller-ID oder auch Rufnummernanzeige kann mit dem richtigen Know-How relativ einfach manipuliert werden, sodass dem Angerufenen eine falsche Nummer angezeigt wird. Beim so genannten Caller-ID Spoofing können sich Hacker mittels gefälschter Rufnummern Zugriff auf private Daten verschaffen. Solche Daten können sich auf Voicemails beziehen, welche eine Art modernen Anrufbeantworter beschreiben. Hierbei werden elektronisch gespeicherte Nachrichten über ein Systemtelefon abgerufen oder per E-Mail bzw. SMS zugestellt.  

Auf diese Voicemails können Hacker dann zugreifen, wenn Mobilfunkanbieter ohne anderweitige Passwortabfrage ausschließlich die Caller-ID zur Authentifizierung nutzen. Laut dem Studenten David Wind ist ihm bis auf "HOT" derzeit in Österreich kein Mobilfunkanbieter mehr bekannt, der noch anfällig für Voicemail-Hacking ist, dies kann er jedoch nicht ausschließen. "T-Mobile" hat diese Schwachstelle mittlerweile weitestgehend behoben. "A1" und "3" wären demnach nicht anfällig für Voicemail-Hacking.

Hacking-Erfolg bei Netflix via Voicemails 

Voicemails werden von manch anderen Services auch genutzt um Passwörter zurücksetzen zu lassen. Diese Vorgehensweise gab es noch vor wenigen Wochen bei Netflix, einem internationalen Video-On-Demand-Anbieter. Zuvor konnte sich David Wind diese Sicherheitslücke zu Nutze machen und Konten von Netflix-Kunden hacken.

Im Detail ist Wind aufgefallen, dass bei Netflix die Passwörter-Rücksetzung auf Wunsch des Nutzers mittels Benachrichtigung per E-Mail, SMS oder Sprachnachricht funktioniert. Wenn nun Netflix-Nutzer ihre Telefonnummern angegeben haben und gleichzeitig einen Mobilfunkprovider nutzen, der anfällig für Voicemail-Hacking ist, konnte das System missbräuchlich dazu verwendet werden, das Passwort eigenmächtig zurückzusetzen. Der gebürtige Tiroler hat dieses Problem mittlerweile bei Netflix gemeldet, worauf die Sicherheitslücke geschlossen wurde. 

Aufstrebender IT Security-Experte

David Wind hat von 2012 bis 2015 IT-Security an der Fachhochschule St. Pölten studiert und so den akademischen Grad Bachelor of Science in Engineering erlangt. Er ist anschließend der FH St. Pölten treu geblieben und studiert derzeit im Master Studiengang Information Security. 

Jetzt teilen:

Sie wollen mehr wissen? Fragen Sie nach!

FH-Prof. Dipl.-Ing. Johann Haag

FH-Prof. Dipl.-Ing. Johann Haag

Mitglied des Hochschulmanagements
Departmentleiter
Studiengangsleiter IT Security (BA)
stellvertretender Institutsleiter Institut für IT Sicherheitsforschung
stellvertretender Studiengangsleiter Information Security (MA)
Department Informatik und Security