Leichtsinnige Werbung - Salt-Promo mit Sicherheitslücke

Das Wichtigste in Kürze

• Salt bietet Kunden bei Handy-Aboverlängerung attraktive Rabatte oder ein Gratis-iPad an.
• Wer die letzten Buchstaben und Zahlen des Links mit beliebigen anderen ersetzt, landet auf dem Profil eines fremden Salt-Kunden.
• Vom Konsumentenmagazin «Espresso» konfrontiert, reagiert Salt. Neu weist der Link acht Buchstaben und Zahlen als Endung auf.
• Künftig passe man besser auf, verspricht Salt.

Audio

Salt-Promo mit Sicherheitslücke

06:25 min, aus Espresso vom 29.05.2018. Bild: Colourbox

abspielen. Laufzeit 6 Minuten 25 Sekunden.

Studentinnen der Uni Basel entdeckten die Sicherheitslücke. Ihnen fiel auf, dass sich die ihnen zugestellten Aktions-Links nur bei den letzten Buchstaben und Zahlen unterschieden. Schon mit einer geringfügigen Änderung der Endung waren sie in den Kundenstamm eines fremden Salt-Kunden eingeloggt. Theoretisch hätten sie diesem nun Abos bestellen oder den E-Mail-Kontakt verändern können.

Schnell wurde das Entdeckte zur Spielerei, und jedesmal gelangten die Studentinnen ohne grossen Aufwand auf das Profil eines fremden Salt-Kunden.

Zusätzliche Barriere

Die Meldung an den Kundendienst erbrachte zunächst keine Verbesserung. Erst nachdem Salt vom Konsumentenmagazin «Espresso» von Radio SRF 1 über die unzulänglichen Links aufgeklärt wurde, reagierte der Mobilfunkanbieter. Inzwischen seien zusätzliche Hürden gegen den Missbrauch eingebaut worden, erklärt Salt-Sprecher Benjamin Petrzilka.

«Hier wurde geschludert»

Der Grund für die Sicherheitslücke ortet SRF-Digitalredaktorin Méline Sieber im Aktions-SMS, das Salt an die Kundinnen und Kunden verschickte. Im SMS von Salt wurde die Internetadresse verkürzt auf vier Zeichen. «Das ist zu kurz», sagt Méline Sieber, «vier Zeichen sind einfach zu erraten, das macht es Cyberkriminellen leicht, an den von der Aktion betroffenen Salt-Kundenstamm zu gelangen.»

Die Expertin hat es selbst ausprobiert und konnte sich diverse Male in fremde Konten einloggen. Dabei wäre es mit wenig Aufwand möglich gewesen, das Sicherheitsproblem zu umgehen. Méline Sieber findet deutliche Worte: «Man hätte lediglich eine längere Adresse verwenden oder eine zusätzliche Barriere einbauen müssen. Bei dieser Salt-Werbeaktion wurden die Hausaufgaben klar nicht gemacht. Hier wurde geschludert.»

Salt sagt, das Problem sei nun behoben worden: «Die Endung wurde auf acht alphanumerische Zeichen erhöht. Gleichzeitig werden die Links neu nach dem Zufallsprinzip generiert, und nicht mehr in einer bestimmten Reihenfolge.» Und Salt verspricht, in Zukunft besser aufzupassen.