MagentaTV, die Streaming-Plattform der Deutschen Telekom, hat Nutzerdaten über eine Werbeplattform geleakt. Unsere Redaktion hat Hinweise gefunden, dass IP- und MAC-Adressen sowie andere Nutzerdaten mehrere Monate lang frei zugänglich waren, bevor das Leck geschlossen wurde.

Die Cybernews-Experten entdeckten das Datenleck Mitte Juni 2025 über eine ungeschützte Elasticsearch-Instanz, gehostet von Serverside.ai, einem Dienst für serverseitige Werbeeinblendungen (SSAI). Den Ergebnissen zufolge stammten alle Daten der exponierten Instanz von MagentaTV, der Video-Streaming-Plattform der Deutschen Telekom.

Die Telekom ist Europas größter Telekommunikationsanbieter und betreibt mehrere Tochtergesellschaften, einschließlich der international erfolgreichen Marke T-Mobile. Serverside.ai gehört zu Equativ, einem französischen Adtech-Unternehmen.

Die Redakteure gehen davon aus, dass die Instanz mindestens seit Anfang Februar öffentlich zugänglich war. Das Unternehmen nahm sie erst offline, nachdem unser Team die Schwachstelle im Juni gemeldet hatte. Eine Stellungnahme der Deutschen Telekom steht bislang aus.

Welche Daten enthielt das MagentaTV-Leck?

Während ein Großteil der geleakten Informationen vermutlich als nicht sensibel eingestuft werden kann, enthielten einige der durchgesickerten Logs die HTTP-Header von MagentaTV-Kunden. Bei jeder Interaktion der Nutzer wird eine Anfrage mit einem HTTP-Header erstellt.

Inoffiziellen Schätzungen zufolge beläuft sich die Zahl der MagentaTV-Abonnenten auf 4,4 Millionen. Die exponierte Instanz enthielt über 324 Millionen Log-Einträge mit einem Umfang von insgesamt 729 GB. Die Redakteure berichten zudem, dass die exponierte Instanz zwischen 4 und 18 Millionen neue Log-Einträge pro Tag erhielt.

Laut ersten Einschätzungen waren die meisten Daten nicht potenziell gefährlich, dennoch wurden bei dem Leck einige Nutzerdaten preisgegeben, darunter:

• IP-Adressen
• MAC-Adressen
• Session-IDs
• Kunden-IDs
• User Agents

Mit anderen Worten: Die exponierten Details umfassten eindeutige Internet-Kennungen, Account-Nummern und Informationen über die Hardware der MagentaTV-Nutzer. Theoretisch könnten Angreifer die durchgesickerten Daten nutzen, um Nutzerstandorte zu verfolgen, sie zu identifizieren und gezielte Angriffe durchzuführen. Die Sicherheitsforscher bestätigen jedoch auch, dass ein hoher Aufwand betrieben werden müsste, um die geleakten Daten zu missbrauchen.

"Theoretisch könnten HTTP-Header, einschließlich Kunden-IDs und Session-IDs, für Session-Hijacking verwendet werden, wodurch Angreifer sich in Kundenkonten einloggen könnten, ohne persönliche Kontoinformationen oder Passwörter zu kennen. In der Praxis waren jedoch wahrscheinlich zusätzliche Sicherheitsmaßnahmen vorhanden, die solches Session-Hijacking verhindern", erklärten unsere Experten.

Ein weiteres Risiko für MagentaTV-Kunden ergibt sich aus möglichen Datenabgleichen. Angreifer könnten die geleakten Daten mit Informationen aus älteren Datenlecks kombinieren. Da IP-Adressen häufig in durchgesickerten Daten vorkommen, könnte das aktuelle Leck dazu führen, dass MagentaTV-Nutzer eindeutig identifiziert werden.

Die Daten zeigen auch, dass MagentaTV vorwiegend auf TV-Boxen der Deutschen Telekom verwendet wird. Die Geräte werden von einem chinesischen Hersteller (OEM) produziert und später unter der Telekom-Marke weiterverkauft. Die Sicherheitsforscher gehen davon aus, dass OEM-Geräte anfälliger für Schwachstellen sind, was die Brisanz des MagentaTV-Datenlecks zusätzlich erhöht.

"Die durchgesickerten Informationen wären für Angreifer sehr nützlich, um bestimmte Geräte auszunutzen, da sie deren IP-Adressen preisgeben. Die exponierten Kunden-IDs könnten Cyberkriminellen je nach verwendetem Exploit ebenfalls bei Angriffen helfen", erklärte das Team.

---

• Leck entdeckt: 18. Juni 2025
• Leck gemeldet: 18. Juni 2025
• CERT kontaktiert: 18. Juni 2025
• Leak geschlossen: 22. Juli 2025