War wohl ne Datenlücke auf Anschluss Info. 

Das Problem besteht schon deutlich länger, ist aber jetzt erst öffentlich geworden.

Und man muss, mit Verlaub, schon sagen, dass es wirklich nur aufgrund der sehr stümperhaften Security möglich war.

Ich meine, man konnte bei Anschluss-Info einfach eine fremde IP-Adresse im Header mitgeben und hat die Daten bekommen, wtf.

Das *muss* irgendjemandem vorher auffallen, dass man das nicht so machen kann.

MM423

Das Problem besteht schon deutlich länger, ist aber jetzt erst öffentlich geworden.

Bedeutet du hast es schon vor längerer Zeit beim Responsible Disclosure Programm der Telekom gemeldet?

Natürlich nicht, ich würde auch jedem Menschen dringend davon abraten, vor allem als Deutsche:r oder in Deutschland lebend so etwas zu machen. Wobei man da generell sehr genau prüfen sollte, denn die entsprechen Verträge sind oft extrem nachteilig.

In Deutschland hat man schneller ein Verfahren nach § 202a-c StGB am Hals als man überhaupt Responsible Disclosure sagen kann, hatte Lilith ja auch schon. Hört man durchaus auch in der Öffentlichkeit immer wieder von bei großen Sachen, aber von solchen Verfahren gibt es weit mehr und die Kosten im besten Fall nerven und jede Menge Geld und im schlechtesten Fall noch mehr Geld oder geben sogar eine Freiheitsstrafe.

Deswegen empfiehlt sogar das Innenministerium anonyme Meldemöglichkeiten, damit sich überhaupt jemand meldet:
https://www.digitale-verwaltung.de/SharedDocs/downloads/Webs/DV/DE/OZG-Security-Challenge/responsible-disclosure.pdf?__blob=publicationFile&v=1

PS: Spannend auch, die Lücke wäre überhaupt nicht für das Bug Bounty zugelassen:

Relevant für das Bug-Bounty-Programm der Deutschen Telekom AG sind Schwachstellen in Domains und Subdomains auf *.telekom.de, *.telekom.net, *.telekom.com und *.t-systems.com.

Und als ehemaliger Mitarbeiter darf ich eh nicht teilnehmen:

Nicht mitmachen dürfen lediglich aktuelle und ehemalige Mitarbeiterinnen und Mitarbeiter der Deutschen Telekom AG und ihnen verbundenen Unternehmen sowie deren Angehörige oder ihre gesetzlichen Vertreter. 

Und die Telekom sagt einem sogar zu, dass man angezeigt wird, da man, wie in diesem Fall, immer irgendwelche Daten ausgespäht/heruntergeladen hat:

Im Rahmen eurer Untersuchungen seid ihr vorsichtig mit dem geprüften Dienst umgegangen und habt seine Verfügbarkeit nicht eingeschränkt. Ihr habt weder Daten ausgespäht, noch verändert, heruntergeladen, gelöscht oder weitergegeben. Tut ihr es doch, können wir durch geltendes Recht gezwungen sein, dies bei Behörden anzuzeigen. Das wollt ihr nicht – wir auch nicht.

@zahni31 

Ja, ist jetzt auch wieder gut. Und Entschuldigung, dass ich nicht, wie manch anderer hier, in Schnappatmung verfallen bin.

CptCpt

Wann äußert sich die Telekom endlich dazu?

Wenn die Rechtsabteilung gemeinsam mit der Öffentlichkeitsarbeit eine hieb- und stichfeste Pressemitteilung ausgearbeitet hat welche die Telekom im bestmöglichen Licht erscheinen lässt.

der_Lutz

bestmöglichen Licht erscheinen lässt.

PR-Bingo:

"technischer Fehler"

"Einzelfälle"

"....unter bestimmten Voraussetzungen"

"externer Dienstleister"

...