AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Von: Joachim Lindenberg <***********@lindenberg.one>
Gesendet: 23.10.2023 18:38
An: <REFERAT24@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter ***************,
ich vermisse auch das Szenario Passwort vergessen. Ein Angreifer muss nur
die Emailadresse eines Vodafonekunden kennen und dafür Passwort vergessen
wählen. Wenn er die dabei versandte Email mitlesen kann, kann er ein neues
Passwort vergeben. Das Captcha ist dabei auch keine Hürde, die werden
inzwischen von Computern schneller gelöst als von Menschen.
Sowohl bei einer Neuregistrierung als auch wenn ein Konto schon existiert -
ein Angreifer der Emails mitlesen kann, kann das Konto mit dieser
Emailadresse übernehmen.
Vielen Dank und viele Grüße
Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Im Auftrag von REFERAT24@bfdi.bund.de
Gesendet: Montag, 23. Oktober 2023 15:05
An: '***********@lindenberg.one' <***********@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6079

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihr Anliegen vom 20.03.2023. Darin reichen Sie unter
Punkt 3 eine Beschwerde wegen Verstoßes gegen Artikel 32 DSGVO gegen
Vodafone ein, weil bei der Registrierung unter
https://www.vodafone.de/meinvodafone/account/registrierung/persoenliche_daten
- "ich bin noch kein Kunde" - keine obligatorische Transportverschlüsselung
verwendet wird.

Ich hatte Vodafone gebeten sich zur Risikoanalyse in Bezug auf den
Bestätigungslink zu äußern, der zur Verifizierung genutzt wird, dass die im
Anmeldeformular eingegebene Mailadresse auch tatsächlich dem vorgeblichen
Nutzer zugeordnet werden kann.

Vodafone hat mir hierzu geantwortet und ausgeführt, dass die Validierung der
E-Mail-Adresse bei Vodafone über das Double Opt-in Verfahren erfolgt.
Vodafone sieht bislang auch im Falle des Auslesens der Registrierungs-E-Mail
kein neues Risiko, da ein böswilliges Abfangen der Registrierungs-Mail zwar
die Bestätigung der Mailadresse erlaubt, dem böswilligen Dritten aber
weiterhin der Benutzername und das Passwort des Kontos fehlten um sich in
dieses Einzuloggen.

Nach meiner Auffassung ist dem zwar zu folgen, wenn man das Risiko der
fremden Validierung der Mailadresse bei einem Nutzerkonto betrachtet, das
von einem legitimen Kunden angelegt wurde. Es fehlt jedoch noch die
Betrachtung des Risikos, wenn ein Angreifer ein Konto mit fremder
Mailadresse selbst anlegt und dann durch einen MitM-Angriff bestätigt.

Ich beabsichtige Vodafone um eine Stellungnahme zum Identitätsmissbrauch
durch Ersteinrichtung des Mailkontos nach folgendem Schema zu bitten:

1. Aufrufen der Account-Registrierungsseite durch den Angreifer 2. Eingabe
fremder Identitätsdaten inkl. Mailadresse (z.B. aus einem Datenleak) 3.
Abfangen der Bestätigungsmail durch MitM-Angriff 4. Angreifer bestätigt
Mailadresse mittels des abgefangenen Bestätigungslinks 5. Angreifer verfügt
über ein bestätigtes Mailkonto unter fremder Identität

Wenn Sie Rückfragen oder Ergänzungen haben, lassen Sie es mich gerne wissen.

Mit freundlichen Grüßen

Im Auftrag
**********

Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-

Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de

********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.