Awareness

Mobile World Congress 2020 – Website gibt umfangreiche Daten preis!

Aktualisiert am

Die Daten von Hunderten Ausstellern und Tausenden Besuchern sind ohne viel Aufwand von der Website des Mobile World Congress 2020 in Barcelona auszulesen. Die AWARE7 GmbH, ein Sicherheitsunternehmen aus Gelsenkirchen, hat die ungesicherte API mit Hilfe Ihrer Software RiskRex aufgedeckt. Umfangreiche Informationen waren mit ohne Authentifizierung abzugreifen. In wie weit die Schwachstelle von Kriminellen ausgenutzt worden ist, ist nicht bekannt allerdings sind E-Mails im Umlauf die Daten von MWC Teilnehmern zum Kauf anbieten.

API der Website vom Mobile World Congress 2020 ist sehr gesprächig.

Die Sicherheit von Daten ist in der Telekommunikationsbranche essentiell. Der Mobile World Congress 2020 ist die größte Telekommunikationsmesse der Welt. Bei Routinechecks der Sicherheitsforscher von der AWARE7 GmbH ist die gesprächige API aufgefallen. Kriminelle haben umfangreiche Möglichkeiten Daten von TeilnehmerInnen und Ausstellern abzugreifen. Das automatisierte Abfragen von Hunderten von Daten ist mit einem Befehl möglich. Umfangreiche Informationen wie z.B. Land, Stadt, Adressen und Telefonnummern sind von 2.956 Ausstellern ohne Hindernisse und Beschränkungen zu erhalten. Insgesamt war es möglich 1.749 Telefonnummern, die auf keinen der Profilseiten öffentlich ausgeschrieben sind, einzusehen und herunterzuladen. Zu den Telefonnummern konnten ebenfalls 1.472 E-Mails eingesehen und heruntergeladen werden. Diese Daten wurden durch Dritte bereits per E-Mail zum Kauf angeboten.

Diese Vorgehensweise widerspricht/verletzt die Datenschutzerklärung umfangreich:

We do not sell personal information to anyone and do not otherwise reveal your personal data to third-parties for their independent use unless (1) you request or authorize it, for instance by registering to a summit or a partner programme, or giving permission to exhibitors and sponsors to scan your attendee badge at the event; (2) it’s in connection with GSMA events; (3) the information is provided to comply with the law, enforce an agreement we have with you, or to protect our rights, property or safety, or the rights, property or safety of our employees or others; (4) to GSMA affiliated companies; (5) or the information is provided to our agents, vendors or service providers who perform functions on our behalf.

Mit dem neuen Jahrzehnt hat auch der Mobile World Congress auf ein neues System umgestellt. 2019 waren die Daten noch statisch auf der Website erfasst. 2020 wurde auf eine API umgestellt. Diese verrät mehr als auf dem Profil ersichtlich ist. So ist auf keinem der von uns untersuchten Unternehmensprofilen die Telefonnummer offiziell ausgewiesen. Über die API erhalten wir diese Information ohne Probleme.

Nicht nur Aussteller sind betroffen – auch Besucherdaten vom MWC 2020 können systematisch abfließen

Einer erfolgreichen Anmeldung zum MWC vorausgesetzt, können auch umfangreiche Daten über Besucher systematisch abgezogen werden. Die etwas anspruchsvollere Vorgehensweise erlaubt es Angreifern Daten von ca. 16.000 Besuchern zu erfassen. Die Informationen reichen von der E-Mail über Land, Stadt, Adresse und umfangreiche LinkedIn Informationen wie z.B. Fähigkeiten und Kontakte. Diese Daten lassen sich im umfangreichen Stil für Betrugsmaschen missbrauchen.

Der Mobile World Congress in Barcelona wurde über das bestehende Sicherheitsrisiko am 05.02.2020 informiert. Das Sicherheitsrisiko besteht nach unsere Erkenntnissen weiterhin. Den Bericht zur Kontaktaufnahme haben wir veröffentlicht. Man teilte uns am 10.02.2020 mit, dass diese Gesprächigkeit gewollt ist und keine Datenschutzverletzung vorliegt.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.