Am 15. August hatte die US-Tochter der Deutschen Telekom bestätigt, wegen eines potenziellen Dateneinbruchs zu ermitteln. Dabei war die Rede von bis zu 100 Millionen Personendaten aus den Systemen von T-Mobile US. Wie sich später herausgestellt hatte, waren rund 54 Millionen Datensätze entwendet worden, die zu einem Teil Namen, Sozialversicherungsnummern und Geburtstage und zu einem anderen Teil IMEI-Gerätenummern und Pins, also die vierstelligen Sicherheits-Codes der verwendeten Kunden-Smartphones, enthielten.
Fürchterliche IT-Sicherheit: Hacker freut sich über einfachen Zugang zu 100 Servern
Der oder die Hacker hatten dann versucht, die Datensätze über ein einschlägiges Forum zu verkaufen. Sechs Bitcoins, mithin rund 280.000 US-Dollar, sollten fließen für ein Paket von zunächst 30 Millionen Datensätzen. Das Interesse hielt sich in Grenzen. Die Preise sanken in der Folge deutlich.
Jetzt hat sich ein 21-jähriger Amerikaner, der eigenen Angaben zufolge seit drei Jahren im türkischen Izmir lebt und sich selbst als Gamer bezeichnet, gegenüber dem Wall Street Journal (WSJ) im Rahmen eines Telegram-Chats zu dem Hack bekannt. So will er über gestohlene Zugangsdaten und einen ungesicherten T-Mobile-Router Zugriff auf mehr als 100 weitere Server erhalten haben.
Der Mann, der sich selbst John Binns nennt, zeigte sich gegenüber dem WSJ entsetzt darüber, wie leicht der illegale Zugriff auf die Daten gewesen sei. Das liege an der „fürchterlichen IT-Sicherheit“ bei T-Mobile. Innerhalb einer einzigen Woche sei es ihm gelungen, mehr als 54 Millionen persönliche Datensätze zu entwenden. T-Mobile habe das nicht einmal bemerkt. Er sei regelrecht „in Panik verfallen“, weil er sich Zugang zu „so etwas Großem“ verschafft hatte.
Dabei reichte laut Binns ein einfaches, öffentlich zugängliches Programm, mit dessen Hilfe er auf die Suche nach Sicherheitslücken gegangen war. Dabei hatte er die bekannten IP-Adressen des Providers auf Schwachstellen abtasten lassen. Im Juli sei er dabei auf einen ungesicherten Router gestoßen, über den er sich Zugang zu einem T-Mobile-Rechenzentrum im US-Bundesstaat Washington verschaffen konnte. Dabei sei er auf nicht ausreichend geschützte Zugangsdaten gestoßen, die es ihm wiederum ermöglicht hätten, sich innerhalb von nur einer Woche auf mehr als 100 Servern einzuloggen.
Schon am 4. August will Binns den Datenklau begangen haben. T-Mobile hatte bis zu diesem Zeitpunkt offenbar nicht einmal bemerkt, dass ein Fremdzugriff erfolgt war. Erst neun Tage später sei T-Mobile von einem Datensicherheitsanbieter darauf aufmerksam gemacht worden, dass im Internet Millionen an Kundendaten zum Verkauf angeboten wurden. Einige Tage später machte T-Mobile das Problem öffentlich. Für T-Mobile ist es der dritte große Hacker-Angriff innerhalb von zwei Jahren.
Die Motivation hinter dem Hack sei es gewesen, „Krach zu schlagen“, so Binns gegenüber dem WSJ. Unklar bleibt, ob es ihm gelungen ist, einen Teil der Daten zu verkaufen, und ob er als Einzeltäter gehandelt hat. Gegen diese Annahme spricht, dass neben Binns mindestens eine weitere Person versucht hatte, die Daten zu verkaufen. Die Frage, ob ihn jemand für den Hack bezahlt hat, beantwortete er nicht.
Das ist John Binns
Das Hacken will er sich selbst beigebracht haben. Über das Erstellen von Cheats für Spiele wie „Minecraft“, „Arma“ und „DayZ“ habe er sich an das Finden von Zero-Day-Exploits, also zuvor unbekannten Sicherheitslücken, herangetastet. Später sei er der Entdecker des Zero-Day-Exploits gewesen, den andere Hacker zur Erstellung des Satori-Botnets verwendet hätten.
Das Wall Street Journal hält die Darstellung von Binns für glaubhaft. So habe er seine Behauptungen mit Täterwissen belegen können und auch für die Identität eines John Binns konnten die Journalisten Belege finden. Danach handelt es sich um den Sohn eines amerikanischen Vaters und einer türkischen Mutter. Bis zu seinem 18. Lebensjahr wuchs er im US-Bundestaat Virginia auf, wo er in Jahrbucheinträgen der McLean-High-School gefunden werden kann. Dann zog er mit seiner Mutter in die Türkei, wo er bis heute lebt. Das WSJ hatte versucht, Binns Mutter zu kontaktieren. Das aber misslang. Sie nahm nach den Kontaktversuchen sogar ihre Facebook-Seite offline.
Personalwechsel bei T-Mobile-Cybersicherheit
Für T-Mobile repräsentiert der Hack einen weiteren schweren Datenverlust in kurzer Zeit. Schon im Jahr 2020 hatte das Unternehmen seine Kunden über zwei separate Datenlecks informieren müssen, die allerdings nicht das Ausmaß des aktuellen Verlusts hatten. In diesem Jahr hat der ehemalige McDonalds-Manager Timothy Youngblood die Nachfolge des langjährigen Informationssicherheitschefs Bill Boni angetreten, der im Juni in den Ruhestand ging. Die US-Regulierungsbehörde FCC hat inzwischen eine Untersuchung des Vorfalls eingeleitet.