Seit mindestens 2016 konnten SMS weltweit in Milliardenhöhe von Hackern mitgelesen werden.
Die Firma Syniverse aus den USA routen SMS in Milliardenhöhe für viele Mobilanbieter. Im Jahr 2016 wurde ein System gehackt und erst im Mai 2021 bemerkt. Das Unternehmen hat die Kunden und Öffentlichkeit dazu nicht informiert.
Deshalb ist dringend davon abzusehen vertrauliche Informationen per SMS oder in anderen unverschlüsselten Kanälen zu versenden.
Zum Vorfall des Mega Datenlecks:
Das kompromittierte System namens Electronic Data Transfer (EDT) ist unter anderem für Vodafone, die O2-Mutter Telefónica, T-Mobile, AT&T, Verizon, America Movil und China Mobile im Einsatz. Syniverse verarbeitet mehr als 740 Milliarden Text-Nachrichten pro Jahr. Laut der Firma sind 95 der weltweit Top-100-Mobilfunkanbieter Kunden der Firma; insgesamt sind 235 Carrier von dem Hack betroffen.
Heise Online hat dazu einen Artikel mit ausführlichen Informationen der recherchierenden Journalisten von Vice.com veröffentlicht.
Den ganzen Artikel bei Heise online lesen https://www.heise.de/news/Hack-bei-Mobilfunk-Dienstleister-Syniverse-Unbefugter-Zugriff-ueber-fuenf-Jahre-6211800.html
Eine "globale Privatsphäre-Katastrophe"
Journalisten der Webseite Vice war der Hack aufgefallen. Die vertraglichen Vorschriften von Syniverse schlossen offensichtlich nicht ein, die eventuell betroffenen Mobilfunk-Kunden, deren Daten gegebenenfalls kompromittiert wurden, zu benachrichtigen. Außerdem hielt die Firma den Hack wohl auch für nicht wichtig genug, um die Öffentlichkeit zu informieren.
Zum Artikel von Vice.com
Im Gespräch mit Jornalisten von Vice.com sagte Karsten Nohl, Sicherheitsforscher und weltweit anerkannter Experte für Mobilfunk-Sicherheit, dass es wahrscheinlich ist, dass die Kommunikations-Daten von Millionen oder sogar Milliarden von Menschen auf der ganzen Welt von dem Hack betroffen sind. Das sei eine "globale Privatsphäre-Katastrophe", so Nohl gegenüber dem Magazin. "Die Systeme von Syniverse haben direkten Zugang zu Telefonie-Daten und Text-Nachrichten und indirekten Zugang zu einer großen Anzahl von Internet-Konten, die mit Zwei-Faktor-Authentifizierung über SMS abgesichert sind. Der Hack bei Syniverse wird simultan den Zugang zu Konten bei Google, Microsoft, Facebook, Twitter, Amazon und allen möglichen anderen Konten erleichtert haben", so Nohl.
