[Problem] Zugangsdatenmissbrauch bei Personal-VOIP

deckers

Neuer User
Mitglied seit
25 Jul 2011
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Personal-VOIP hat mir nach sechs Jahren Nutzung meinen Zugang gesperrt, nachdem der Zugang offensichtlich vom 27.07. auf den 28.07. durch Dritte für Anrufe ins Ausland missbraucht wurde, unter anderem wurden wiederholt zeitgleich (!) mehrere Telefonate mit der estländischen Rufnummer 0037258882003 geführt - augenscheinlich nicht über meine Fritz!Box, sondern von anderswo.

Nun lese ich mit Datum 28.07. im PBX-network-Blog, dass es aktuell scheinbar erneut zum Ausnutzen einer Sicherheitslücke in verschiedenen Fritz!Box-Versionen komme (siehe http://blog.pbx-network.de/?p=503). Auf Nachfrage bei AVM bekam ich hierzu keine Bestätigung, sondern Verwunderung über eine solche Aussage, und mein Kabelnetzprovider Unitymedia versicherte mir noch einmal, dass die Sicherheitslücke aus 2013/2014 bei den Fritz!Boxen seinerzeit auch durch den Kabelanbieter per Fernwartung bei allen Kunden gepatcht wurde.

Da ich meine SIP-Zugangsdaten von Personal-VOIP selbst nicht einmal auswendig kenne, kein anderer darauf Zugang hat und ich sie - außer in Papierform an sicherem Ort und verschlüsselt in einer zuverlässigen App - auch nirgends gespeichert habe, gehe ich davon aus, dass man sich diese Zugangsdaten nicht über mich beschafft haben kann.

Außer bei Personal-VOIP habe ich auch nirgends über aktuelle Probleme mit dem Missbrauch von SIP-Zugangsdaten gelesen.

Mein ursprüngliches Guthaben will man mir übrigens nicht erstatten, und für eine Entsperrung will man Geld sehen. (Stattdessen werde ich mich wohl eher als Kunde verabschieden...)

Gibt's hier unter den Mitlesern welche, die aktuell ähnliche Erfahrungen mit Personal-VOIP und/oder anderen SIP-Anbietern machen?

Gruß
aufBergheimer
 
Dabei hätten die doch nur in dem von dir verlinkten Blog zu klicken brauchen: Sicherheitshinweise zu Updates
Bei deinem Kabelnetzprovider Unitymedia gibt es diese Version 6.30 noch nicht.

Der Kabelnetzbetreiber hat aber nach dem seinerzeitigen Bug bzgl. der SIP-Zugangsdaten mit AVM ein Update hierzu herausgegeben, und die AVM-Hotline für Kabelkunden gibt an, dass in letzter Zeit keine Sicherheitslücken bekannt geworden seien, über die man die SIP-Passwörter erlangen könne.

Und dass die Version 6.30 irgendwelche Lücken schließe, die damit zu tun haben, steht da doch auch keineswegs... und war auch sonst nirgends zu lesen.
 
Das ist richtig, das steht da keineswegs. Da steht nur: Die Punkte werden zu einem späteren Zeitpunkt veröffentlicht. :?
 
Eigentlich ist es völlig irrelevant ob die Kabelbox irgendwelche Lücken hat, da die Nutzung mit Personal Voip oder anderen Anbietern sowieso nicht gestattet ist.
 
Eigentlich ist es völlig irrelevant ob die Kabelbox irgendwelche Lücken hat, da die Nutzung mit Personal Voip oder anderen Anbietern sowieso nicht gestattet ist.


Aha und wo steht das?
 
In den Besonderen Geschäftsbedingungen Internet und Telefonie Punkt 4 c)
 
Es kann sich beim TE auch problemlos um eine "Spätfolge" der webcm-Lücke vor 18 Monaten handeln. Ich finde dort keine Aussage darüber, daß vom TE nach dem Bekanntwerden der Lücke tatsächlich die Zugangsdaten zu Personal-VOIP auch geändert wurden (wahrscheinlich wurde das nicht deutlich genug gemacht ;)) ... wenn ich auf der anderen Seite lese, daß diese Daten schon sechs Jahre existieren, dann würde ich die Aussage des TE:
deckers schrieb:
Da ich meine SIP-Zugangsdaten von Personal-VOIP selbst nicht einmal auswendig kenne, kein anderer darauf Zugang hat und ich sie - außer in Papierform an sicherem Ort und verschlüsselt in einer zuverlässigen App - auch nirgends gespeichert habe, gehe ich davon aus, dass man sich diese Zugangsdaten nicht über mich beschafft haben kann.
an dieser Stelle nicht überbewerten - ansonsten fehlen eben entsprechende Angaben und andere (Zugangsdaten kennt er selbst nicht, irgendwo sicher abgeheftet - was bei einer Änderung des hinterlegten Kennworts ja dann auch aktualisiert werden müßte, die entsprechende Korrektur sollte sich bei der Papierform ja leicht finden lassen) legen die o.a. Vermutung nahe.

Wenn die Daten tatsächlich (nachweislich) geändert wurden, ist das wieder etwas anderes ... keine Ahnung, wie das bei Personal-VOIP läuft. Normalerweise würde ich eine E-Mail des Providers mit der Bestätigung eines erfolgreichen Kennwort-Wechsels erwarten ... aber andererseits auch nach deutschem Recht ein korrektes Impressum auf allen Seiten der "equada GmbH", was zumindest für das "Blog" (oben verlinkt) schon mal nicht gegeben ist.
Es braucht schon einige Anstrengungen, um aus diesem Blog heraus überhaupt den Betreiber zu ermitteln. Damit ist der zwar für sein Qualitätsmanagement (nach eigener Aussage im Blog) nach ISO 9001 zertifiziert, dafür kriegt er nicht einmal eine rechtlich einwandfreie Webpräsenz für einen Teil des Angebotes (blog.pbx-network.de) hin. Aber das ist ein anderes Thema, über das sich am Ende wieder nur ein Konkurrent mit einem abmahnfreudigen Anwalt Gedanken machen würde ...

Auch in diesem Zusammenhang kann man nur noch einmal darauf hinweisen, daß neben der Einrichtung von SIP-Accounts in der FRITZ!Box durch die webcm-Lücke auch das komplette Auslesen sämtlicher verschlüsselt gespeicherter Zugangsdaten möglich war und die Aufforderung, alle in der FRITZ!Box hinterlegten Anmeldedaten zu ändern nicht ernst genug genommen werden kann. Das gilt selbst für die WebDAV-Zugangsdaten (Online-Speicher) und erst recht für alle in der Box hinterlegten Accounts. Wenn da ein Account "[email protected]" existierte und der ein bestimmtes Kennwort hatte, dann ist es eben vollkommen unzureichend, wenn man nur in der FRITZ!Box das Kennwort für diesen Account ändert und dabei das eigenliche Kennwort bei web.de (die Erfahrung zeigt nun mal, daß das bei mind. 98 von 100 Usern dasselbe Kennwort ist) wie bisher beläßt. Die vor 18 Monaten ergaunerten Informationen müssen ja nicht alle auf einen Schlag mißbraucht werden ... wenn der direkte Weg über das Einrichten von SIP-Accounts in den FRITZ!Boxen nun nicht mehr funktioniert, graben die Angreifer eben tiefer und buddeln dabei dann auch ältere Accounts aus, deren Zugangsdaten seit Jahren nicht geändert wurden (und so kann man #1 eben auch lesen).
 
In den Besonderen Geschäftsbedingungen Internet und Telefonie Punkt 4 c)

Es dürfen nur keine Fremddaten in den UM-Router eingetragen werden. Das hat nur den Grund der Absicherung für UM und wird toleriert. Im Gegensatz zu anderen Anbietern zerfetzt die Fernwartung keine Fremdeinträge in der Box. Es ist sehr wohl gestattet andere Provider in Boxen hinter dem UM-Router einzutragen und zu nutzen. Bei mir werkelt eine Fritzbox hinter der 6360 als Backup. Keine Probleme!
 
Darum geht es aber in diesem Thread gar nicht. Dem TE hätte das auch nicht geholfen.
 
Wie wehrt man sich denn erfolgreich gegen ein Zwangsmodem/-router außer den Anbieter zu wechseln?

Und eine Fritzbox hinter dem Router ist ja schon aufgrund ersterer als Firewall nicht primär Angriffen ausgesetzt.
 
Darum geht es aber in diesem Thread gar nicht. Dem TE hätte das auch nicht geholfen.

Sorry, aber wenn so falsche Behauptungen gepostet werden, dann fällt es schwer sich zurückzuhalten....

Trotzdem ist die Sache einen Gedanke wert. Erfolgt ein Angriff über das Internet, dann werden gezielt die Router automatisiert gescannt. Wird z.B. ein DC7200 erkannt, werden nur dessen Schwachstellen genutzt. Das die Router in der 2./3.-Ebene ebenso gescannt und angegriffen werden, scheint NICHT der Fall zu sein. Jedenfalls hatte ich bislang (Zufall?) keinen Ärger wegen unsicheren (!!!) alten Routern, die hinter anderen Routern liefen wie Fritzbox 5050 hinter Draytec usw. . Daher die These, das VoIP-Router hinter anderen Routern sicherer sind.
Diese Angriffe, bei denen sich jemand von Router zu Router durchkämpft betreffen eher Firmen und da geht es nicht um SIP-Daten, sondern um vertrauliche Dateien.

Auch wenn wieder offtopic: Diese Zwangsgeräte sehe ich zwiespältig. Für manche Oma ist das sogar gut, denn da liegt die Verantwortung zu 100% beim Provider. Der kommt aus der Kiste auch nicht raus, wenn er wegen nicht gepatchten Sicherheitslücken die 500€ Telefonkosten nach RUS nicht bezahlt bekommt.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.