You might also be interested in
Request purchasing advice
Fill out our online contact form quickly and easily so that we can advise you personally in a timely manner.
View offers
Informieren Sie sich über unsere aktuellen Internet-Angebote.
Fill out our online contact form quickly and easily so that we can advise you personally in a timely manner.
Informieren Sie sich über unsere aktuellen Internet-Angebote.
10 months ago
was für ein Tarif
Wo kann man da erkennen was für ein Tarif gebucht wurde? Ich finde dazu keine Angabe auf der Seite.
0
10 months ago
Ist eigentlich nichts anderes als https://www.anschlussinfo.de/ von der Telekom.
Verstehe jetzt das Problem nicht.
Was ist diese "Permanent ID"?
IP zuweißung auf Stadt, Land oder Region. Also auch nix besonderes, was man auch bei utrace sehen kann.
Also nix Besonderes und aufregendes was du da uns zeigst.
1
Answer
from
10 months ago
Vielleicht erst einmal ein bisschen lesen bevor man etwas uninformiertes rausposaunt.
Es wird eine permanente ID mitgeliefert, die es ermöglicht den Anschluss zu jeder Zeit zurückzuverfolgen, selbst wenn sich die IP Adresse ändert. Das ermöglicht dauerhaftes Tracking, unabhängig von einer IP-Änderung. Zusätzlich sind anscheinend zum Teil auch Infos zum Vertrag abrufbar, wie der gebuchte Tarif und Geschwindigkeit. Schon ein bisschen personenbezogen.
Unlogged in user
Answer
from
10 months ago
Scheint jetzt nicht mehr zu gehen. Mir wird jetzt nur noch die "Permanent ID" und die Vorwahl des Anschlusses angezeigt.
Bedeutet das, daran wird schon gearbeitet?
Hier kann man sehen, wie das gestern noch ausgesehen hat: https://x.com/LilithWittmann/status/1812096000246292663
IP zuweißung auf Stadt, Land oder Region. Also auch nix besonderes, was man auch bei utrace sehen kann.
Mit "utrace" kann man die Vorwahl des Anschlusses sehen? Wie geht das? Und die Permanent ID ist permanent? Also unveränderlich?
Ist eigentlich nichts anderes als https://www.anschlussinfo.de/ von der Telekom.
Da wird mir eine Leitungs-ID angezeigt. Die Webseite gehört doch der Telekom. Kann jedermann im Internet meine Leitungs-ID auslesen?
5
Answer
from
10 months ago
Das ist bei X Werbung für ihr eigenes Produkt.
Das ist Ironie.
Answer
from
10 months ago
Das ist Ironie.
Eher verar…… der Leute. Die hat doch einfach ein paar Daten dazu geschrieben, die eigentlich gar nicht angezeigt werden. Da hat sie sogar Schreibfehler drin.
Answer
from
10 months ago
Eher verar…… der Leute. Die hat doch einfach ein paar Daten dazu geschrieben, die eigentlich gar nicht angezeigt werden. Da hat sie sogar Schreibfehler drin.
Nur du.
Informier dich mal besser.
Da wird schon was dran sein.
Unlogged in user
Answer
from
10 months ago
Hm, klingt irgendwie uncool.
https://twitter.com/LilithWittmann/status/1812101147429052516
0
10 months ago
Ganz ehrlich, das klingt nicht nur nach reiner Anschluss ID. Und selbst wenn, hat die von extern nicht abrufbar zu sein von jedem Hans Wurst.
https://twitter.com/LilithWittmann/status/1812228676768899253
0
10 months ago
https://x.com/Anwalt_Jun/status/1812477463936565276
0
10 months ago
Hier kann man sehen, wie das gestern noch ausgesehen hat: https://x.com/LilithWittmann/status/1812096000246292663
So wie ich das in den ganzen Tweets deute, wurde die Seite auch angepasst, dass das nich mehr angezeigt wird - heißt, da wurde seitens der Telekom noch nix geändert, die "Schnittstelle" ist immer noch da.
Und anscheinend wird die ID auch von der Telekom direkt geliefert. Dachte erst, das sei eine ID die die Seite halt generiert, aber ne, die kommt anscheinend direkt von der Telekom. Bei wechselnden IPs natürlich massiv übel.
0
10 months ago
Medienkompetenz ist offenbar nicht deine Stärke.
Wer die Seite betreibt, ist auch vollkommen irrelevant. Solange es nicht die Telekom ist, haben wir ein Problem.
3
Answer
from
10 months ago
haben wir ein Problem.
Nur du.
Answer
from
10 months ago
Wer die Seite betreibt, ist auch vollkommen irrelevant.
Naja, nicht ganz.
https://de.wikipedia.org/wiki/Lilith_Wittmann#IT-Sicherheit
Answer
from
10 months ago
Naja, nicht ganz. https://de.wikipedia.org/wiki/Lilith_Wittmann#IT-Sicherheit
Naja, nicht ganz.
https://de.wikipedia.org/wiki/Lilith_Wittmann#IT-Sicherheit
Und warum macht es das relevanter oder weniger relevant? Ob Lilith Wittman, Tante Emma oder der Pabst die Seite betreibt, ändert überhaupt nichts am Problem.
Unlogged in user
Answer
from
10 months ago
Hallo, Hier kann offenbar der eigene Anschluss mit allen möglichen Daten identifiziert werden: https://festnetz.cool/ Soll das so sein? Was ist diese "Permanent ID"? Warum können Webseiten erkennen, welche Vorwahl mein Anschluss hat und was für ein Tarif gebucht wurde?
Hallo,
Hier kann offenbar der eigene Anschluss mit allen möglichen Daten identifiziert werden: https://festnetz.cool/
Soll das so sein? Was ist diese "Permanent ID"? Warum können Webseiten erkennen, welche Vorwahl mein Anschluss hat und was für ein Tarif gebucht wurde?
Das kann ich doch hier viel einfacher haben auf https://ipv6-test.com/ oder über die eindeutige Browserkennung, due manche Webbrowser zur Verfügung stellen.
Der Angreifer, der Anschlussinfo.de aufruft sollte dann seine eigene Anschlusskennung sehen. Die Anschlusskennung wird mit dem Glasfasermodem verwendet um die Nutzer auf der Glasfaser trennen zu können.
1
Answer
from
10 months ago
Die Anschlusskennung wird mit dem Glasfasermodem verwendet um die Nutzer auf der Glasfaser trennen zu können
Blödsinn.
Unlogged in user
Answer
from
10 months ago
Ja.. nö.
Ist dann schon was anderes, wenn der Anbieter das unabhängig von Endgerät ausschließlich anhand der IP-Adresse liefert, auch - und vorallem - obwohl sie sich ändert!
4
Answer
from
10 months ago
Ganz sicher hätte ich ein Problem damit, wenn Dritte das (z.B. anhand meiner IP-Adresse) auch könnten. Das ist aber bisher nicht gezeigt worden.
Hä? Und was denkst du, wie die Seite es schafft, dir diese Informationen anzuzeigen?
Answer
from
10 months ago
Hä? Und was denkst du, wie die Seite es schafft, dir diese Informationen anzuzeigen?
Ist es diese Seite, die die Daten anzeigt, oder weist sie nur meinen Browser an, sie selbst bei der Telekom abzuholen?
Answer
from
10 months ago
oder weist sie nur meinen Browser an, sie selbst bei der Telekom abzuholen?
Die Frage lasse ich einfach mal so stehen. Als Kunst. Eine Antwort erübrigt sich ja offensichtlich.
Unlogged in user
Answer
from
10 months ago
https://twitter.com/LilithWittmann/status/1812586889733369981
😱
1
Answer
from
10 months ago
@patrickn
ja und, natürlich liest die hier mit, ist ja ein öffentliches Forum.
Unlogged in user
Answer
from
10 months ago
Ach verflucht, jetzt hab ich's auch auf Twitter geschafft. 🤪
0
10 months ago
Die Seite holt für dich die Daten Freihaus bei der Telekom ab und zeigt sie bei dir im Browser auf dem Sofa an. Nennt sich Service.
2
Answer
from
10 months ago
festnetz.cool - der Databroker mit Service. Unser Alleinstellungsmerkmal unter den Telefonanbietern.
Wie das funktioniert ist leider Geschäftsgeheimnis, aber es geht serverseitig für beliebige IPs.
Answer
from
10 months ago
"Registriert seit 21.01.2021"
Zufall oder Chiffre?
Unlogged in user
Answer
from
10 months ago
Ein erster Blog-Artikel ist erschienen https://www.borncity.com/blog/2024/07/14/daten-und-benutzertracking-bei-telekom-per-api/
0
10 months ago
Vielleicht erwacht die Telekom so langsam mal von ihrem Wochenend-Tiefschlaf.
Funktioniert auf jeden Fall sehr gut, neue IP, über Mobilfunk und VPN Zuhause verbunden - ID bleibt gleich.
Ob das wohl auch rückwärts anhand der ID funktioniert und man die aktuelle IP bekommt?
0
10 months ago
Soll das so sein?
Einfach mal nach Lilith Wittmann googeln.
Viele Grüße
Thomas
0
10 months ago
Hier ist echt das geballte Fachwissen unterwegs, besonders bei @JuergenS1 .
Die Kurzfassung: Litith und Ihr Team hat einen Telekom-Webservice entdeckt, über dem sich Live-Abfragen zur IP-Adressen machen kann. Nicht nur die Eigene, JEDE Telekom-Ip-Adresse bestimmter Anschlusstypen.
Dort gibt es viele Informationen, die unter den Schutz der DSGVO fallen. In ihrem "Angebot" wird und wurde nur ein Teil der Informationen angezeigt. Sie hat den Umfang sicherheitshalber reduziert. Mit der Permant-ID kann man einen User extern unbemerkt über eine sehr lange Zeit verfolgen, egal welche aktuelle IP-Adresse er hat.
Aktuell: Die Telekom hat vermutlich einen Arbeitskreis gegründet und sucht noch eigenen Webservice. Parallel müssen Sie, entsprechend der gültigen Gesetzte, Meldungen an die zuständigen Behörden durchführen.
0
10 months ago
Zumindest eine Meldung vom Team, dass man sich der Sache angenommen hat, wäre wünschenswert. Irgendwie kann man sich nie so sicher sein, dass das mit der Eskalation geklappt hat.
0
10 months ago
Meine ID hat sich geändert. Hatte nur die Cookies gelöscht.
Nur komisch das die Seite es nicht erwähnt.
Ansonsten sehe ich da ein Datenleck.
0
10 months ago
Heute Nacht hat mein Smart 4 eine neue IP erhalten, seitdem erhalte ich diese Anzeige:
Gruß Ulrich
4
Answer
from
10 months ago
Na, hat sich ja für die Dame gelohnt. Glückwunsch.
Answer
from
10 months ago
Na, hat sich ja für die Dame gelohnt. Glückwunsch.
du hast ihr über Patreon was zukommen lassen?
Answer
from
10 months ago
du hast ihr über Patreon was zukommen lassen?
Find ich gut. Danke @JuergenS1. Irren ist menschlich.
Unlogged in user
Answer
from
10 months ago
Was für ein Zufall, *hust*
"anschlussinfo.de"!
1
Answer
from
10 months ago
War wohl ne Datenlücke auf Anschluss Info.
Unlogged in user
Answer
from
10 months ago
Also war es tatsächlich die LINE-ID, die hier jedermann zu jeder beliebigen Telekom IP-Adresse abrufen konnte.
0
10 months ago
Golem berichtet https://www.golem.de/news/datenpanne-bei-der-telekom-api-ermoeglicht-tracking-von-festnetzanschluessen-2407-187066.html
Erstaunlich, dass ich so relevant bin. Denn laut @JuergenS1 bin ich ja der einzige, der hier betroffen ist.
0
10 months ago
Mal schauen, ob und wie die Telekom darüber informiert und wie lange es dauert, bis der Erste kommt mit "ich soll meine leitungsid übermitteln aber es geht nicht!!!1! 😭"
7
Answer
from
10 months ago
Das Problem besteht schon deutlich länger, ist aber jetzt erst öffentlich geworden.
Und man muss, mit Verlaub, schon sagen, dass es wirklich nur aufgrund der sehr stümperhaften Security möglich war.
Ich meine, man konnte bei Anschluss-Info einfach eine fremde IP-Adresse im Header mitgeben und hat die Daten bekommen, wtf.
Das *muss* irgendjemandem vorher auffallen, dass man das nicht so machen kann.
Answer
from
10 months ago
Das Problem besteht schon deutlich länger, ist aber jetzt erst öffentlich geworden.
Bedeutet du hast es schon vor längerer Zeit beim Responsible Disclosure Programm der Telekom gemeldet?
Answer
from
10 months ago
Natürlich nicht, ich würde auch jedem Menschen dringend davon abraten, vor allem als Deutsche:r oder in Deutschland lebend so etwas zu machen. Wobei man da generell sehr genau prüfen sollte, denn die entsprechen Verträge sind oft extrem nachteilig.
In Deutschland hat man schneller ein Verfahren nach § 202a-c StGB am Hals als man überhaupt Responsible Disclosure sagen kann, hatte Lilith ja auch schon. Hört man durchaus auch in der Öffentlichkeit immer wieder von bei großen Sachen, aber von solchen Verfahren gibt es weit mehr und die Kosten im besten Fall nerven und jede Menge Geld und im schlechtesten Fall noch mehr Geld oder geben sogar eine Freiheitsstrafe.
Deswegen empfiehlt sogar das Innenministerium anonyme Meldemöglichkeiten, damit sich überhaupt jemand meldet:
https://www.digitale-verwaltung.de/SharedDocs/downloads/Webs/DV/DE/OZG-Security-Challenge/responsible-disclosure.pdf?__blob=publicationFile&v=1
PS: Spannend auch, die Lücke wäre überhaupt nicht für das Bug Bounty zugelassen:
Und als ehemaliger Mitarbeiter darf ich eh nicht teilnehmen:
Und die Telekom sagt einem sogar zu, dass man angezeigt wird, da man, wie in diesem Fall, immer irgendwelche Daten ausgespäht/heruntergeladen hat:
Unlogged in user
Answer
from
10 months ago
@JuergenS1
Einfach vor dem Posten mal etwas lesen. Natürlich war das ein Scherz. So erreicht man aber Aufmerksamkeit für Fragen der IT-Sicherheit, alls wenn man nur schnöde irgendwo schreibt: Die Telekom hat da eine API...
1
Answer
from
10 months ago
@zahni31
Ja, ist jetzt auch wieder gut. Und Entschuldigung, dass ich nicht, wie manch anderer hier, in Schnappatmung verfallen bin.
Unlogged in user
Answer
from
10 months ago
Ooops.
Ob das wirklich irgendwo in den Datenschutzbestimmungen steht? 🤔
0
10 months ago
Wann äußert sich die Telekom endlich dazu?
2
Answer
from
10 months ago
Wann äußert sich die Telekom endlich dazu?
Wenn die Rechtsabteilung gemeinsam mit der Öffentlichkeitsarbeit eine hieb- und stichfeste Pressemitteilung ausgearbeitet hat welche die Telekom im bestmöglichen Licht erscheinen lässt.
Answer
from
10 months ago
bestmöglichen Licht erscheinen lässt.
PR-Bingo:
"technischer Fehler"
"Einzelfälle"
"....unter bestimmten Voraussetzungen"
"externer Dienstleister"
...
Unlogged in user
Answer
from
10 months ago
@patrickn genau, so in etwa.
"in Abstimmung mit den zuständigen Datenschutzbehörden"
"keine Gefahr..."
"niemals bestand die Möglichkeit.."
"alles nur theoretisch..."
"ihre Daten sind bei uns sicher"
"unser höchstes Gut"
Wir können ja dann abhaken 😂
0
10 months ago
"(wir) haben unverzüglich*" darf auch nicht fehlen 😂
*Arbeitstage
0
10 months ago
Oder man macht den Olaf?
0
Unlogged in user
Ask
from