Brute Force
Das Ganze kann man sehr freundlich als frech bezeichnen. Denn in Tschechien konnten Betrüger, die alles andere als schlaue Hacker waren, Zugriff auf die Konten von Vodafone-Kunden erlangen. Das gelang ihnen laut einem Bericht von The Register über eine simple "Brute Force"-Attacke, also im Wesentlichen über das automatisierte Ausprobieren von Zugangsdaten.Dass diese Attacke überaus erfolgreich war lag an der Tatsache, dass Vodafone den Kunden temporäre PINs zugeteilt hat, die zum Teil nicht unsicherer sein konnten. Bei einigen Kundenkonten waren die vier- bis sechsstelligen PINs auf Kombinationen wie "1234" voreingestellt, die Angreifer konnten mit Hilfe der ihnen bekannten Nummern überaus einfach einige der Zugänge hacken.
Eine Bestätigung per Ausweiskopie oder nur simple E-Mail-Bestätigung war nicht erforderlich. Die Betrüger konnten auf diese Weise etwa 60 Konten übernehmen, über diese verschickten sie Premium-SMS an Wettanbieter. Dadurch erleichterten sie die Konten um rund 26.000 Dollar.
An dieser Stelle wäre die Geschichte nun eigentlich zu Ende, jedenfalls dann, wenn Vodafone den eigenen Fehler zugegeben und etwaige Schulden den Kunden erlassen hätte. Doch das Telekommunikationsunternehmen wollte von einer eigenen Schuld nichts wissen und beharrte darauf, dass die Kunden die offenen Beträge bezahlen. Das ging sogar soweit, dass Geldeintreiber losgeschickt wurden.
Der Fall wurde erst jetzt bekannt, hat sich aber schon vor einer Weile ereignet, die beiden Verantwortlichen wurden mittlerweile verurteilt. Vodafone scheint aber immer noch auf den Schulden zu beharren.
Großer Mobilfunk-Vergleichs-Rechner