Ich habe heute zu Sunrise gewechselt und gerade die eSIM auf mein Handy geladen. Der QR-code für die eSIM ist direkt in “My Sunrise” zu finden ist, was sehr praktisch ist. Nicht nur für onboarding wie in meinem Fall, sondern auch, falls man sein Handy mal verliert und erneut und schnell Zugang zum QR-code braucht. Leider ist dies auch ein erhebliches Sicherheitsrisiko, solange das Login zu “My Sunrise” nicht besser geschützt ist.
Sollte jemand Zugang zu meinem “My Sunrise” Konto bekommen, kann der Angreifer auch direkt meine Handynummer übernehmen. Und damit bekommt der Angreifer Zugang zu den SMS login codes (OTP), die auf meine Nummer registriert sind. Damit bekommt man oft Zugang zum Email-Konto einer Person, da man damit die Passwort vergessen Funktion nutzen kann. Und sobald man Email und SMS hat, hat man Zugang zu so gut wie allem.
Der speziell dumme Fall tritt ein, wenn ein Angreifer mit Zugang zum Email-Konto startet. Dann kann er dass Passwort von “My Sunrise” zurücksetzen, sich dort einloggen, das eSIM Profil herunterladen, und sich dann überall dort einloggen, wo man nicht nur ein Passwort sondern eben auch einen SMS code (OTP) braucht: Kreditkarte, Krankenkasse, allenfalls sogar Bank,…
Der mangelnde Schutz von “My Sunrise” macht SMS codes als Sicherheitsfeature damit nutzlos. Denn jeder Angreifer, der bereits Email übernommen hat, bekommt auch direkt Zugang zu den SMS codes.
“My Sunrise” muss besser geschützt werden. Idealerweise mit Support für FIDO2 Authentication. Dann braucht man für das Login einen Hardware Dongle wie Yubikey oder ein Gerät mit eingebautem Security Token wie ein MacBook/iPhone/iPad mit TouchID oder ein modernes Android Handy.
Ich habe versucht einen Kontakt bei Sunrise zu finden, wo man Sicherheitsprobleme melden kann. Leider keinen gefunden (was auch an sich schon ein Problem ist!) und deshalb hier im Forum.