High Mobile
View company profile →
Gravierende sicherheitsbedenken
Ich schreibe selten Rezensionen, aber wenn ich es tue, ist entweder etwas extrem positiv oder extrem negativ. Leider veranlasst mich diese Rezension, eine extrem negative Bewertung abzugeben, und zwar aus einem besonders schwerwiegenden Grund: Sicherheitsmängel, die Kunden ernsthaft gefährden. Positiv hervorzuheben sind die gute Erreichbarkeit des Kundenservices und die Netzabdeckung, die jedoch dem Telekom-Netz zu verdanken ist. HIGH MOBILE bietet verschiedene Kanäle wie WhatsApp, E-Mail und Telefon an, um den Support zu kontaktieren, was sehr zufriedenstellend ist. Doch damit enden auch schon die positiven Aspekte. Vor einigen Tagen wurde ich Opfer eines Identitätsdiebstahls, und die Ursache dafür war die unsichere Online-Plattform von HIGH MOBILE. Ein Angreifer konnte über die Plattform eine eSIM auf meinen Namen bestellen, ohne dass ich dies veranlasst hatte. Obwohl der Schaden in meinem Fall „nur“ auf das Versenden von Spam-SMS beschränkt war, hätte der Angriff viel gravierendere Konsequenzen haben können, beispielsweise das Deaktivieren von Zwei-Faktor-Authentifizierungen. Der Login auf der HIGH MOBILE-Webseite erfolgt lediglich über die Eingabe der Telefonnummer und eines Passworts. Hier beginnen meine ersten Zweifel: Die Wahl der Telefonnummer als Login-ID ist bereits fragwürdig, da diese leicht mit HIGH MOBILE in Verbindung gebracht werden kann. Noch gravierender ist jedoch, dass es keinerlei zusätzlichen Passwortschutz gibt. Weder eine Zwei-Faktor-Authentifizierung noch eine Benachrichtigung bei Login-Versuchen von neuen IP-Adressen existiert. Es gibt auch keine Bot-Protection, was bedeutet, dass mit minimalem Programmierwissen riesige Passwortlisten in kürzester Zeit durchprobiert werden können. Der Angreifer musste lediglich meine Telefonnummer kennen und das Passwort muss entweder einfach sein oder auf einer Password-List sein, um sich einzuloggen. Letzteres war bei mir der Fall, was das einzig Positive an dem Vorfall ist, ich weiß das dieses Passwort nicht mehr sicher ist. Außerdem wäre eine Möglichkeit über Aktivierung einer 2FA sehr hilfreich. Sobald der Angreifer Zugriff hatte, konnte er alle meine persönlichen Daten einsehen: Name, Adresse, Geburtsdatum, Bankverbindung und Rechnungen – alles im Klartext und ohne zusätzliche Sicherheitsabfragen. Besonders schockierend ist, dass der Angreifer die E-Mail-Adresse, an die die eSIM gesendet wurde, ohne jegliche Bestätigung auf meiner bisherigen E-Mail-Adresse ändern konnte. Es reichte, einfach zu speichern, und ich erhielt keine Benachrichtigung über die Änderung. Der Angreifer wurde hingegen auf die neue E-Mail-Adresse informiert, dass der Wechsel erfolgreich war. Ich war völlig im Dunkeln. Diese Sicherheitslücken sind absolut untragbar. Es ist unglaublich, dass in einem System, das mit so sensiblen Daten umgeht, solche grundlegenden Sicherheitsmechanismen fehlen. Hiermit rate ich jedem dringend davon ab, bei HIGH MOBILE einen Vertrag abzuschließen, solange diese Sicherheitsvorkehrungen nicht drastisch verbessert werden. Drastisch bedeutet, dass sensible Informationen wie Bankverbindungen nicht mehr ohne zusätzliche Sicherheitsabfragen angezeigt oder geändert werden können. Eine Änderung der E-Mail-Adresse muss zwingend durch eine Bestätigung auf der alten E-Mail-Adresse erfolgen, und das Login-System muss bei mehrfacher falscher Eingabe sofort das Konto sperren. Alles andere ist schlichtweg fahrlässig. Diese gravierenden Mängel werde ich allen relevanten Behörden melden, da sie eine Gefahr für die Allgemeinheit darstellen. Identitätsdiebstahl darf nicht so einfach möglich sein! Bis HIGH MOBILE diese eklatanten Sicherheitslücken behebt, kann ich das Unternehmen in keiner Weise empfehlen. Sicherheit muss bei einem Mobilfunkanbieter oberste Priorität haben – hier wird sie jedoch sträflich vernachlässigt.