Hallo, Ich habe eben eine Mail von Pollin erhalten die Beinhaltet das das Passwort zurückgesetzt wurde da die gehackt wurden. von Pollin " In einer aktuell durchgeführten Analyse haben wir festgestellt, dass sich unbekannte Dritte aufgrund eines gezielten Serverangriffs unberechtigten Zugriff auf Daten verschafft haben können, die in der Vergangenheit auf der Website von Pollin Electronic eingetragen wurden. Davon können beispielsweise Namen, Geburtsdaten, E-Mail Adressen, SEPA-Daten, Zugangsdaten, Telefonnummern oder postalische Adressen unserer Kunden betroffen sein. " Vom Inhalt her ist dies eine Wirkliche Mail von Pollin jedoch konnte ich auf der ebseite nichts dazu finden. Hat jemand anderes diese auch bekommen? Es kommen ja immer wieder mal Mails an wo versucht wird Passwörter und Co zur erlangen was aber wenn auch auf der Webseite steht das dies Passiert ist. Was mich jedoch Wundert ist das kein Salt bzw mehrfaches Haschen des PWD der Fall war da sonst das PWD ja Sicher wäre. Es ist jetzt nichts gegen Pollin da so ein Angriff auf etliche Firmen immer laufen sowie auch auf Foren um an die Daten zu kommen.
:
Bearbeitet durch User
Das ist eine Reaktion auf Phishing-Mails, die gezielt an Kunden aus der Datenbank von Pollin versendet wurden, mit z.B. Cyberport als angeblichem Lieferanten. Ich hatte gestern auch so eine erhalten. In diesen Mails war ggf. auch die hinterlegte Bankverbindung aufgeführt. http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-Kunden-3280449.html
:
Bearbeitet durch User
Kai A. schrieb: > Was mich jedoch Wundert ist das kein Salt bzw mehrfaches Haschen des PWD > der Fall war da sonst das PWD ja Sicher wäre. Ob das Passwort dem Hacker etwas nutzt oder nicht, oder wie hoch der Aufwand zur Klartextermittlung etwa wäre, steht hier nicht wirklich zur Debatte. Die Datenbank wurde gehackt und als Folge davon wurden vorsorglich die Passwörter geplättet. Das ist eine Routine-Reaktion. Aus der Tatsache der Phishing-Mails selbst geht nicht hervor, dass Kunden-Passwörter entschlüsselt wurden. Das ist dafür nicht erforderlich. Dies bedeutet andererseits aber nicht, dass die Passwörter sicher wären. Wer in seinen Daten eine Konto- oder Kartennummer hinterlegt hatte, der sollte in nächster Zeit auf sein entsprechendes Konto achten, denn diese Daten liegen dem Hacker unverschlüsselt vor und wurden auch in den Mails genutzt.
:
Bearbeitet durch User
Christian M. schrieb: > Hacker sind friedlich! Nur die White-Hats darunter. Hacker ist der Oberbegriff und schliesst auch Black-Hats mit ein.
:
Bearbeitet durch User
erstmal mit einem fake-Account anmelden. wenn es dann in etwa heisst: "Willkommen bei (...)" wäre ich doch etwas vorsichtig ;)
Der Server scheint vollkommen überlastet zu sein. Naja, php ist so einfach für sowas nicht zu verwenden.
:
Bearbeitet durch User
Ist aber auch beknackt, an alle Internet Kunden eine Mail zu verschicken, wo man zum Ändern des PW aufgefordert wird, und dann nicht auf einen Ansturm gefasst zu sein von Leuten, die das dann auch machen wollen. Interessant wäre der Zeitpunkt des Hacks, hatte mein PW gerade geändert.
Matthias S. schrieb: > Ist aber auch beknackt, an alle Internet Kunden eine Mail zu > verschicken, wo man zum Ändern des PW aufgefordert wird, und dann nicht > auf einen Ansturm gefasst zu sein von Leuten, die das dann auch machen > wollen. Es geht nicht anders. Der Hinweis über den Hack muss frühzeitig erfolgen. Ich habe es soeben problemlos geschafft, ohne jede Verzögerung.
Matthias S. schrieb: > Interessant wäre der Zeitpunkt des Hacks, hatte mein PW gerade geändert. Das legt nahe, dass du das gleiche PW auch anderswo verwendet hast. Sonst wäre das ja egal.
A. K. schrieb: > Das legt nahe, dass du das gleiche PW auch anderswo verwendet hast. > Sonst wäre das ja egal. Hä? Kapier ich jetzt nicht. Warum legt das das nahe? Pollin fordert auf, ein neues Passwort zu vergeben. Genau das hatte ich vor einigen Tagen gemacht. Wenn die Jungs davor abgegriffen haben, dann spielt das keine Rolle für mich, wenn das erst gestern war, aber sehr wohl. Wer ist schon so blöd und nimmt immer die gleichen Passwörter? - ich zumindest nicht.
Es ist von "erheblicher krimineller Energie" die Rede. Wie muss man das verstehen?
Oliver S. schrieb: > Es ist von "erheblicher krimineller Energie" die Rede. Wie muss > man das > verstehen? Das der "Eindringling" nicht durch "Doppelklick" sich Zugang verschafft hat...
Oliver S. schrieb: > Es ist von "erheblicher krimineller Energie" die Rede. Wie muss man das > verstehen? Da war kriminelle Energie im Spiel und die war erheblich. Was ist daran nicht zu verstehen? Wenn Du wissen willst was sie gemacht haben, dann frage die Hacker! Old-Papa
Matthias S. schrieb: > Wer ist schon so blöd und nimmt immer die gleichen Passwörter? Da sich die Anzahl der benötigten Passwörter im normalen Leben schon im Bereich von >>20 bewegt, muss man sich schon irgend- etwas überlegen. Natürlich kann man sich sämtliche Passwörter irgendwo aufschreiben,aber das wäre z.B. bei einem Einbruch auch nicht so toll. Ehrlich gesagt habe ich da noch keine richtige Lösung gefunden. Mich würde mal interessieren, wie das andere Forenmitglieder handhaben.
Harald W. schrieb: > Mich würde mal interessieren, wie das andere Forenmitglieder handhaben. Tja, zu Zeiten von Mailboxen & Co (so ab 1992). hatte ich tatsächlich ein Büchlein mit hunderten Zugangsdaten. Später dann eine "Casio-Datenbank", die war immer gaga wenn ich was brauchte. Also wieder zum Buch und zur Zettelwirtschaft. Inzwischen habe ich eine Exceltabelle, diese PW-Geschützt mehrfach abgelegt. Für Shops usw. habe ich so 5-7 PW in leicht abgewandelter Form, für Mail, FB, iBäh und Gedöhns komplett eigene, die auch gelegentlich gewechselt werden. > 200 kommt bei mir wohl auch hin. Old-Papa
Harald W. schrieb: > Da sich die Anzahl der benötigten Passwörter im normalen Leben > schon im Bereich von >>20 bewegt, muss man sich schon irgend- > etwas überlegen. z.B. eine Kombination aus wo ich mich einlogge, wer ich bin und weiterer personenbezogener Kram. da brauche ich keinen Passwort-Tresor.
Matthias S. schrieb: > Pollin fordert auf, ein neues Passwort zu vergeben. Genau das hatte ich > vor einigen Tagen gemacht. Wenn die Jungs davor abgegriffen haben, dann > spielt das keine Rolle für mich, wenn das erst gestern war, aber sehr > wohl. Das gestern noch vorhandene PW ist heute gelöscht, also musst du so oder so ein neues PW vergeben. Wenn du das von gestern wiederverwendest, kommst du im Falle eines Falles in die ungünstige Situation, deine Überlegungen zur Harmlosigkeit der Wiederverwendung haarklein jemandem erklären zu müssen, der nur die Hälfte davon versteht.
:
Bearbeitet durch User
Harald W. schrieb: > Da sich die Anzahl der benötigten Passwörter im normalen Leben > schon im Bereich von >>20 bewegt, muss man sich schon irgend- > etwas überlegen. ... > Mich würde mal interessieren, wie > das andere Forenmitglieder handhaben. Für Krempel mit mittleren Sicherheitsanforderungen (da gehören Webshops dazu) verwende ich: https://addons.mozilla.org/en-US/firefox/addon/password-hasher/ Gibt es auch als Android-App
Harald W. schrieb: > Mich würde mal interessieren, wie > das andere Forenmitglieder handhaben. Password Manager.
Harald W. schrieb: > Mich würde mal interessieren, wie > das andere Forenmitglieder handhaben. KeePass
Scheinbar ist der größte Ansturm vorbei, denn ich konnte eben mein Passwort ohne Mühe und Verzögerung ändern. Harald W. schrieb: > Ehrlich gesagt habe ich da noch keine > richtige Lösung gefunden. Mich würde mal interessieren, wie > das andere Forenmitglieder handhaben. Sämtliche Passworte sind in einem Gedicht versteckt. Bei jedem Neuen kommt ein Reim hinzu. :) MfG Paul
Paul B. schrieb: > Sämtliche Passworte sind in einem Gedicht versteckt. Trägst du das auch mal vor...
Michael K. schrieb: > Trägst du das auch mal vor... Na klar -aber erst mal nur im engsten Kreis (um meinen Wohnzimmertisch). :) MfG Paul
Paul B. schrieb: > Sämtliche Passworte sind in einem Gedicht versteckt. und glaubst du wirklich, dass sich ein gewiefter Hacker keinen Reim drauf macht? ;-)
Paul B. schrieb: > Sämtliche Passworte sind in einem Gedicht versteckt. Bei jedem Neuen > kommt ein Reim hinzu. Von Dir hätte ich auch nichts anderes erwartet. :-)
Wenigstens wissen die von Pollin das es großer Mist ist wenn so was passiert und informieren die Kunden. Machen ja nicht alle Firmen. Google kennt Beispiele bei denen Daten abgezockt wurden und keiner per Email gewarnt wurde.
Ahh... und ich hatte mich schon gewundert, woher wohl in der Phishing-Email (ein ominöses Jobangebot für Geldtransaktionen blah) meine Realdaten (Name, Adresse und Telefonnummer) stammten bzw. wer die geleakt hat. Dann waren das wohl die Daten von Pollin...
Bernd T. schrieb: > Wenigstens wissen die von Pollin das es großer Mist ist wenn so was > passiert und informieren die Kunden. Angesichts der enthaltenen Daten sind sie dazu vermutlich auch rechtlich verpflichtet. Die dürften mittlerweile einen Sicherheits-Consultant im Haus haben, der sich darin auskennt.
:
Bearbeitet durch User
Harald W. schrieb: > Mich würde mal interessieren, wie > das andere Forenmitglieder handhaben. http://keepass.info/ Gibts sowohl für Desktop als auf Mobile Betriebssysteme.
Marek N. schrieb: > KeePass > +1 +1=3 Hab irgendwas um die 100 accounts darin gespeichert. Hoffe ja mal das die verschlüsselung nicht geknackt wird ;) Bin echt enttäuscht von Pollin. Das bekräftigt mich aber weiterhin für möglichst alles einen eigenen Email-alias zu nutzen, dann weiss man wenigstens wem man den Spam zu verdanken hat. UND die Datendiebe haben nicht gleich den Usernamen für andere Dienste mit ggf. gleichem Passwort... Wer Gmail nutzt der sei zu dem hier geraten: https://gmail.googleblog.com/2008/03/2-hidden-ways-to-get-more-from-your.html Meine Provider können das leider beide nicht...
Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt sind. Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails. Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer Datenbank abzulegen. Herzlichen Glückwunsch! Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen...
np r. schrieb: > Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher > geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer > Datenbank abzulegen. > Herzlichen Glückwunsch! Ich muss also auch davon ausgehen, dass Menschen sich tatsächlich den Kracher leisten, im Jahre 2016 noch bei mehreren Diensten des gleiche Passwort zu verwenden. ;-) Sollten die Angreifer wirklich mein (vorheriges) Pollin Passwort haben, so können sie damit nichts anfangen. Es steht in keinerlei Verbindung zu meinen anderen Passwörtern.
np r. schrieb: > Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter > in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt > sind. > > Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails. Ganz ehrlich: Welche Antwort willst du denn haben? Wenn sie dir schreiben würden, dass die PW super-duper-verschlüsselt wären, würdest du das doch nicht glauben, und hier auch bloß posten, dass Pollin mauert! > Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher > geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer > Datenbank abzulegen. > Herzlichen Glückwunsch! > > Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen... Dummes Gelaber! - Wie gut oder schlecht die PW bei Pollin verschlüsselt waren, ist doch total nebensächlich. In so einem Falle sollte man immer(!) neue PW vergeben. Und wie mein Vorposter schrieb: Wer seine PW mehrfach verwendet, der ist einfach selbst dran schuld, und sollte sich keinesfalls ereifern, dass eventuell möglicherweise sein PW nicht verschlüsselt gespeichert sein könnte.
Es gibt Anbieter die haben Klartext PWDs andere verschlüsseln. Jedoch wenn diese zugriff auf die Server/Daten haben können die auch Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch Entschlüsseln. Aber da hält sich eh jede Firma in Schweigen wie deren Systeme Abgesichert sind ect um nicht noch zusätzliche Negative Presse zu bekommen sowie ggfs noch Klagen zu erhalten. Aber in vielen Firmen ist es auch so das auch im IT Bereich gespart wird und viele vorgesetzte auch nicht den Plan davon haben und verstehen weshalb dort dauernd zusätzlich Geld für ausgegeben werden muss wenn es doch auch so läuft...
Kai A. schrieb: > Jedoch wenn diese zugriff auf die Server/Daten haben können die auch > Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch > Entschlüsseln. So nicht, jedenfalls wenn nicht zu doof gemacht. Das ist eine Einwegverschlüsselung, d.h. es gibt keinen regulären Weg, sie zu entschlüsseln. Je nach Methode und den Eigenschaften des Passwortes kann es trotzdem möglich sein, aber dabei hilft Kenntnis des Programms nicht viel weiter. Dafür aber ein schneller Rechner, genug Platz und etwas Zeit.
:
Bearbeitet durch User
np r. schrieb: > Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter > in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt > sind. > > Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails. > > Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher > geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer > Datenbank abzulegen. > Herzlichen Glückwunsch! > > Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen... wieviel Mail werden in Firmen mit derartigem Mail-Aufkommen noch wirklich direkt beantwortet? wo sitzt da überhaupt noch echtes Personal dahinter???
● J-A V. schrieb: > wieviel Mail werden in Firmen mit derartigem Mail-Aufkommen > noch wirklich direkt beantwortet? Wenn es etwas ist, das für Pollin geschäftlich relevant ist und einer Antwort bedarf, vermutlich jede. Einen Anspruch auf eine individuelle Antwort auf die tausendste Frage zum gleichen Thema hast du freilich nicht. ebensowenig eine Antwort, die z.B. deren Geschäftsprozesse offenlegt. > wo sitzt da überhaupt noch echtes Personal dahinter??? Was sonst? Jenseits des Autoresponders (haben die Mail erhalten) dürfte ein KI-System zur Reaktion auf Mails nur selten anzutreffen sein. Und da Mails in ganz normalen Geschäftsprozessen heutzutage routinemässig verwendet werden, ist ein "forward to /dev/null" nicht wirklich eine Lösung.
:
Bearbeitet durch User
Irgendwas war da sowieso krumm.. Ich habe meine T-Online-EMail das allererste mal bei einer Pollin Bestellung benutzt und wurde sofort 2 Tage später mit Werbung zugemüllt. Ich hatte die EMail schon lange, nur noch nie angegeben.
● J-A V. schrieb: > der ganze Laden ist krumm. Inwiefern? Gehackte Datenbanken kommen in den besten Familien vor. Krumm ist da jemand, der dies zu verbergen versucht. Es ist kein Geheimnis, dass ein Teil der Ware Restposten sehr unterschiedlicher Qualität ist. Die Reaktion auf Reklamationen ist aber gut, soweit zumindest meine Erfahrung.
A. K. schrieb: > Die Reaktion auf Reklamationen ist aber gut, soweit zumindest meine > Erfahrung. Sehe ich auch so. Da kann man nicht meckern.
A. K. schrieb: > ● J-A V. schrieb: >> der ganze Laden ist krumm. > > Inwiefern? 3 mal was bestellt, 3 mal defekt angekommen, weil es nicht richtig vepackt wurde. irgendwann dann nochmal versucht was zu bestellen, Die Artikel OK, die Rechnung aber falsch. Zu meinen Gunsten. -hab ich dann nicht weiter verfolgt ;)
A. K. schrieb: > Krumm ist da jemand, der dies zu verbergen versucht. "Krumm" wäre hier, dass man hartnäckig und mit individuell geschriebenen E-Mails zu verbergen versucht, dass man ganz offensichtlich die Passwörter nicht nach dem Stand der Technik gespeichert hat. Das ist aber eine Information, die für den betroffenen Kunden durchaus wertvoll ist. Ich habe ja auch nicht nach Pollins Geschäftsprozessen oder nach ihrer Verschlüsselung gefragt - das darf gerne Pollins Geheimnis bleiben. Aber die Information, dass mein Passwort ungeschützt und im Klartext an unbekannte Dritte gegangen ist, sollte man mir geben.
Kai A. schrieb: > Jedoch wenn diese zugriff auf die Server/Daten haben können die auch > Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch > Entschlüsseln. Gute und zuverlässige Verschlüsselungen sind OpenSource: jeder kann sich den Quellcode angucken und auf Fehler oder Backdoors kontrollieren. Derzeitiger Standard sind m.W. gesalzene (https://de.wikipedia.org/wiki/Salt_(Kryptologie)) SHA-2 (https://de.wikipedia.org/wiki/SHA-2) Hashes mit mehreren Iterationen. Wer diese Möglichkeit einsetzt, kann (und sollte) dies auch öffentlich Kundtun, ohne dass es der Passwortsicherheit schadet.
np r. schrieb: > "Krumm" wäre hier, dass man hartnäckig und mit individuell geschriebenen > E-Mails zu verbergen versucht, dass man ganz offensichtlich die > Passwörter nicht nach dem Stand der Technik gespeichert hat. Das schliesst du woraus? Für mich ist das keineswegs offensichtlich. Selbst wenn eine solche normale Datenbank mit der sichersten verfügbaren Methode für Passwörter arbeitet - selbst dann müsste bei einem solchen Hack an alle möglicherweise Betroffenen eine Warnung raus, die Passwörter zu ändern (das ist m.W. auch Vorschrift). Allein schon, weil ein 6-stelliges Passwort aus Kleinbuchstaben auch dann nicht sicher sein kann. Fragen nach den Details der Speicherung können jene, die Mail-Anfragen erhalten, nicht selbst beantworten. Und jede Antwort in einer solchen Frage muss so gestaltet sein, dass sie für die Firma keine negativen rechtlichen Folgen hat. Dass man da an normale Kunden adressierte Texte erhält nimmt nicht Wunder - wundern würde mich, wenn es irgendwo anders liefe. Eine Antwort wie "ihr Passwort ist sicher" würde ich auf eine solche Frage nicht einmal dann geben, wenn ich das Verfahren für sehr sicher halte.
:
Bearbeitet durch User
Nun kommt mal wieder runter! Weder ist "der ganze Laden krumm", noch ist gesichert, dass Pollin die Passwörter unverschlüsselt sichert. Wer bei Pollin kauft (und das müssen Millionen sein bei den Treffern im Web), der weis auch, dass er/sie Restposten oder andere "preiswerte Ware" bekommt. Meistens meckern diejenigen, die nie dort gekauft haben! Ist ja bei PayPal ähnlich, die größten Hasser geben zu, dass sie "nie-nicht" ein PP-Konto haben... Also, woher die Erkenntnis, dass die PW unverschlüsselt gespeichert werden? Vielleicht eine Glaskugel bei Pollin gekauft? ;-) Old-Papa
Ich bestelle selbst regelmäßig und schon länger bei Pollin Schnäppchen.. Das Krumm war mehr auf die Datenschleuderei von Emails bezogen.
Old P. schrieb: > noch ist gesichert, dass Pollin die > Passwörter unverschlüsselt sichert. A. K. schrieb: >> Passwörter nicht nach dem Stand der Technik gespeichert hat. > > Das schliesst du woraus? Für mich ist das keineswegs offensichtlich. Für Dich nicht, da Du offenbar nicht bei Pollin nachgefragt hast. Ich habe inzwischen - wie oben bereits erwähnt - mehrmals bei Pollin nachgefragt. Darauf habe ich jeweils unterschiedliche, individuell formulierte Antworten erhalten, die mir mitteilten, - dass man über die polizeilichen Ermittlungen keine Auskunft geben könne (wonach ich nicht gefragt hatte), - oder dass man über "Pollins Sicherheitskonzept" keine Auskunft geben könne (wonach ich nicht gefragt hatte). Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik und dass die Passwörter nicht im Klartext gespeichert waren. Welches Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht. Dies hat Pollin mir nicht bestätigen können oder wollen, so dass ich folgern muss, dass die Passwörter im Klartext gespeichert waren. Pollin scheint da zu vergessen, dass die gespeicherten Daten meine Daten sind und ich durchaus Auskunft darüber verlangen darf, wem welche Daten zugänglich gemacht worden sind - absichtlich oder aus Schusseligkeit.
np r. schrieb: > Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin > die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik > und dass die Passwörter nicht im Klartext gespeichert waren. Welches > Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht. Und Du bist der Welt Sachsverständige dem jeder Konzern/Unternehmen antworten muss wenn er sich so eine total dumme und beknackte Frage stellt, die auch noch sowas von Noobie ist das Leute mit nem bisschen Ahnung Dich nur belächeln! Dazu wird es bestimmt noch bei Zeit eine Stellungnahme von Pollin geben.. womöglich hast Du nur Angst das Dein Passwort "123456" gemopst wurde.
np r. schrieb: > > Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin > die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik > und dass die Passwörter nicht im Klartext gespeichert waren. Welches > Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht. Und genau das wird Dir kein Unternehmen der Welt sagen. Warum auch? Schon die Information ob oder ob nicht verschlüsselt wird, ist sicherheitsrelevant! > Pollin scheint da zu vergessen, dass die gespeicherten Daten *meine* > Daten sind... Na da wäre ich nicht so sicher ;-) Wer hat das Datensystem angelegt und wer erstellt und verwaltet das System mit Geburtsdaten, Andressen (also Straßen und Orte nach Kriterien benennen)? Du bist "nur" ein Individium, dass sich den von Anderen aufgebauten Service zu nutze macht! Also, hierüber könnte man trefflich streiten ;-) > ... und ich durchaus Auskunft darüber verlangen darf, wem welche > Daten zugänglich gemacht worden sind - absichtlich oder aus > Schusseligkeit. Wenn sie wüssten, wer bei ihnen eingebrochen ist, dann brauchten sie keine Polizei. Glaskugeln hat selbst Pollin nicht im Programm. Old-Papa
Philipp K. schrieb: > total dumme und beknackte Frage > stellt, die auch noch sowas von Noobie ist Vielleicht kannst Du das mit einer etwas sachlicheren Aussage unterfüttern statt mit persönlichen Angriffen? P.S.: Leider lockt dieses - sonst sehr gute und hilfreiche - Forum oft Teilnehmer an, die Aussagen und Informationen zur Sache nicht von personenbezogenen Aussagen unterscheiden können. Solltest Du dazu gehören, möchte ich Dich bitten, die Begriffe "argumentum ad rem" und "argumentum ad hominem" nachzuschlagen. Dein nächstes Posting könnten wir dann zur Lernkontrolle gemeinsam auswerten.
Also erstmal einen persönlichen Angriff sehe ich hier nicht, Deutsch lernen. Einer Firma Klartextspeicherung Vorzuwerfen ist schon eine Nummer über die man sich vorher Gedanken machen sollte! Ich denke mal eher im besten Fall wurden fest und sicher verschlüsselte Passwörter gemoppst(auch da bekommt jeder Nachricht), wer verrrät dann in dem Falle bitte schön seine Verschlüsselungsmethode? Noobie wird man, indem man sich mit ca. Tausend anderen "Schlauen" Personen frühzeitig diese eine Frage stellt und das Unternehmen mit Nachrichten Bombardiert.
Philipp K. schrieb: > Ich denke mal eher im besten Fall wurden fest und sicher verschlüsselte > Passwörter gemoppst(auch da bekommt jeder Nachricht), wer verrrät dann > in dem Falle bitte schön seine Verschlüsselungsmethode? 1.) Werden die meist nicht verschlüsselt sondern gehashed. 2.) Die Methode sollte nicht geheim sein müssen, sonst ist die Sicherheit so wieso bereits nicht mehr gegeben (Security by Obscurity). Die größte Gefahr ist, dass die auf einen einfachen Hash für alle Passwörter setzen und man somit bei einem Klau der ganzen Datenbank mit einer "Geburtstags-Attacke" ziemlich viele Klartext Passwörter erwirtschaften kann. Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein SOLLTE, ist es sowieso egal.
Old P. schrieb: > dass die gespeicherten Daten *meine* >> Daten sind... > > Na da wäre ich nicht so sicher ;-) Wer hat das Datensystem angelegt und > wer erstellt und verwaltet das System mit Geburtsdaten, Andressen (also > Straßen und Orte nach Kriterien benennen)? > Du bist "nur" ein Individium, dass sich den von Anderen aufgebauten > Service zu nutze macht! Ehrlich gesagt - jetzt bin ich einigermaßen platt. :-o Du meinst also, dass die Informationen über Geburtsdaten, Adressen, Straßen und Orte,... nicht persönliche Daten des jeweiligen Kunden sind? Das ist im BDSG und in der Richtlinie 95/46/EG aber anders geregelt. Dort wird auch die Auskunftspflicht und der Umgang mit den Daten geregelt. Zu Paswörtern geben die jeweiligen Landesdatenschutzbeauftragten noch eine kleine Hilfestellung, damit - frei nach Philipp K. (philipp_k59) - Noobies, die in die Verlegenheit geraten, Passwörter speichern zu müssen, keine dummen und beknackten Fragen zu stellen brauchen: "Die Passwörter sind im Computer verschlüsselt zu speichern." "In Protokollen oder Dateien dürfen Passwörter nie in Klarschrift erscheinen."
Philipp K. schrieb: > wer verrrät dann > in dem Falle bitte schön seine Verschlüsselungsmethode? Danach hatte ich nicht gefragt. Das hatte ich auch oben ausdrücklich geschrieben. Ich hatte eine kurze, einfache Frage gestellt, die mit "Ja" oder "Nein" beantwortet werden konnte. Statt dessen hat man sich die Mühe gemacht, mir seitenweise individuell formulierten Text in mein Postfach zu werfen und auf Fragen zu antworten, die ich nicht gestellt hatte. Philipp K. schrieb: > Also erstmal einen persönlichen Angriff sehe ich hier nicht, Deutsch > lernen. OK, da sich das "Deutsch lernen" ja nicht auf meine Person beziehen kann sondern als Sachäußerung zu verstehen sein muss, nehme ich an, Du willst uns mitteilen, dass Du mit der Lektüre zu "argumentum ad rem" und "argumentum ad hominem" nicht weitergekommen bist, da Du noch im Stadium "Ich nix sehen, ich erst Deutsch lernen" bist. Kein Problem. Du kannst die Erläuterungen aber auch auf Englisch nachschlagen. Oder auf Urdu. Die Begriffe selbst sind sowieso Lateinisch. Lass Dich nicht verwirren.
Cyblord -. schrieb: > Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein > SOLLTE, ist es sowieso egal. Die Techniken und das ganze drumherum sind mir schon seit 2003 bekannt, da habe ich als Hobby meine Erste Internetseite mit Login und Datenbank erstellt.. wer das heutzutage nicht macht hat keinen IT-ler angestellt, sehe ich so als Hobbyist.
:
Bearbeitet durch User
Philipp K. schrieb: > Cyblord -. schrieb: >> Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein >> SOLLTE, ist es sowieso egal. > > Die Techniken und das ganze drumherum sind mir schon seit 2003 bekannt, > da habe ich als Hobby meine Erste Internetseite mit Login und Datenbank > erstellt.. wer das heutzutage nicht macht hat keinen IT-ler angestellt, > sehe ich so als Hobbyist. Ändert nichts daran dass das noch häufig gemacht wird. Frag doch mal nen Fachinformatiker oder "Bachelor für Medien und Kommunikation" nach solchen Dingen. Oft macht dann noch der 15 jährige Enkel vom Chef die Betreuung nebenher weil es mit PHP Frickeln kann. So läufts leider.
:
Bearbeitet durch User
Philipp K. schrieb: > wer das heutzutage nicht macht hat keinen IT-ler angestellt, > sehe ich so als Hobbyist. Das sehe ich genauso. Warum aber kann man dann nicht einfach auf die simple Frage "Können Sie mir bitte bestätigen, dass die Passwörter nicht im Klartext gespeichert waren?" antworten: "Ja, selbstverständlich kann ich das bestätigen." oder "Nein, natürlich waren sie nicht als Klartext gespeichert." ?? So eine Antwort wäre doch viel kürzer, einfacher und sinnvoller als seitenweise über "polizeiliche Ermittlungen" und "Sicherheitskonzepte" zu schwadronieren, über die man jedoch leider nichts sagen dürfe, und sich dabei jedes Mal mit immer neuen Formulierungen einen abzubrechen, als hätte man sonst keine Arbeit?
Musste jetzt selbst erstmal nen bisschen Daten zusammen Tragen und habe mal nach Zertifizierungen oder ähnlichem gesucht.. Von Golem: Laut Pollin hat der Datenschutzbetrauftragte des Elektronik-Shop bereits die zuständige Aufsichtsbehörde informiert, zudem will das Unternehmen Strafanzeige stellen. Die technische Analyse des Angriffs dauere weiter an. Pollin hat ja ein Prüfsiegel für den OnlineShop mit folgenden Prüfkritirien (Ich weiß selbst das das wenig auszusagen hat, ist ja kein ISO und sehr breit ausgelegt, vielleicht ein Indiz): Der Anbieter wendet ein angemessenes Sicherheitskonzept an, das insbesondere Folgendes nachweislich gewährleistet: die Sicherheit sensibler und personenbezogener Daten seiner Kunden; ausreichenden Schutz seiner Systeme und Verfahren gegen Zugriff unberechtigter Dritter; die Verschlüsselung bei der Transaktion von Zahlungsinformationen. Cyblord -. schrieb: > Ändert nichts daran dass das noch häufig gemacht wird. Frag doch mal nen > Fachinformatiker oder "Bachelor für Medien und Kommunikation" nach > solchen Dingen. Oft macht dann noch der 15 jährige Enkel vom Chef die > Betreuung nebenher weil es mit PHP Frickeln kann. So läufts leider. Jepp, kenne ich selbst einige Beispiele ;)
np r. schrieb: > Warum aber kann man dann nicht einfach auf die simple Frage Beispielsweise weil die antwortende Person weder entsprechend Ahnung hat noch dazu autorisiert ist. Und jene Person, die es wäre, ist grad mit der Sache selbst beschäftigt und hat keine Zeit, sich mit lauter solchen Mails zu befassen. Du bist nicht der einzige Kunde von Pollin. Die Person, die auf solche Mail antwortet, baut so weit wie sie es versteht aus vorgegebenen Aussagen eine Antwort zusammen. Dass die nicht zwingen auf die Frage passen ist klar, denn diese Person ist in solchen Fragen nicht kompetent. Kategorie Callcenter.
np r. schrieb: > Ehrlich gesagt - jetzt bin ich einigermaßen platt. :-o > Du meinst also, dass die Informationen über Geburtsdaten, Adressen, > Straßen und Orte,... nicht persönliche Daten des jeweiligen Kunden sind? Du hast einen Anspruch darauf, solche auf dich bezogenene Inhalte der Datenbank zu erfahren. Auskunft über die Technik, wie diese gespeichert sind, gehört dazu nicht.
A. K. schrieb: > Die Person, die auf solche Mail antwortet, baut so weit wie sie es > versteht aus vorgegebenen Aussagen eine Antwort zusammen. Ich kenne das aus dem Reklamationsschriftverkehr mit Internet-Providern: Textbausteine in den Würfelbecher, schütteln, in das Antwortmail kippen und ohne weitere Prüfung als Antwort versenden. In der Schule wäre diese Antworten jedes Mal eine totale Themaverfehlung gewesen.
Richard H. schrieb: > Ich kenne das aus dem Reklamationsschriftverkehr mit Internet-Providern: > Textbausteine in den Würfelbecher, schütteln, in das Antwortmail kippen > und ohne weitere Prüfung als Antwort versenden. So ungefähr. Die kompetenten und oft auch teuren Personen braucht man dort, wo das Problem selber liegt. Wenn kompetente Fachkräfte eines Tages so billig sind wie Callcenter-Mitarbeiter, dann wird sich das vielleicht ändern. ;-)
Deshalb Reklamationen und Support Anfragen immer direkt mit Artikelnummer schreiben. Dann hat der Servicemitarbeiter weniger zu tun und muss nicht lange Überlegen sondern kann meinen Vorschlag für den Ersatzartikel einfach per Copy-Paste akzeptieren.
Hmm nun wurden die Daten wohl an jemanden verkauft der User versucht zu erpressen. Sinnbildlich macht man den betroffenen Angst man hätte über den Browser Videos gemacht beim "sie wissen schon" und droht damit diese an die Kontaktliste die man geraubt hätte zu verteilen. Um die Glaubwürdigkeit zu untermauern wird das Passwort mitgeliefert. Eben genau das mit der email das bei Pollin Anwendung fand. Das Zahlungsdaten abflossen wurde ja immer bestritten, diese sind außerhalb der EU aber auch ziemlich wertlos. Also versucht man es auf diese Tour die Daten in Geld umzusetzen. Letztes Jahr gab es Auffälligkeiten bei google und Github.. Da Passwörter regelmäßig geändert werden und nicht gleich sind bei anderen Diensten bin ich mir ziemlich sicher das es von mir keine Videos von "na ihr wisst schon gibt" Gibt es ähnliche Mails an andere Kunde ? Wer so etwas bekommt -> nicht zahlen und nie Antworten ! Passwörter ändern ...
:
Bearbeitet durch User
Old P. schrieb: >> Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin >> die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik >> und dass die Passwörter nicht im Klartext gespeichert waren. Welches >> Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht. > > Und genau das wird Dir kein Unternehmen der Welt sagen. Warum auch? > Schon die Information ob oder ob nicht verschlüsselt wird, ist > sicherheitsrelevant! Auch wenn der Thread schon uralt ist, würde ich hier gerne einhaken: Die Information ob, oder ob nicht verschlüsselt wird, bzw gehasht, wie man es bei Passwörtern macht, ist nicht sicherheitsrelevant. Wenn die Passwörter ordentlich gesalzen und gehasht wurden, dann bringt einem Angreifer das Wissen darüber gar nichts. Der Aufwand ist praktisch der gleiche. Somit gibt es prinzipiell nur zwei Methoden, Passwörter zu sichern: 1.) Man nimmt sich aus dem vollen Schränken der OpenSource-Community ein von Experten entwickeltes, und zigmal von Experten geprüftes Verfahren. 2.) Man verschlüsselt gar nicht, setzt auf ClosedSource oder "Security by obscurity", bei der niemand nachprüfen kann, ob die Daten wirklich sicher sind. Dreimal darf geraten werden, welche Methode man lieber geheim hält, und mit welcher man angeben kann...
Stell aber open source nicht als automatisch sicherer als Closed source hin. Die Vergangenheit hat gezeigt dass dies nicht der Fall ist. Siehe als prominentestes Beispiel den Heartbleed bug oder diese Wlan verschlüsselungssache vor ein paar Monaten...
tja alt aber aktuell.... Es ist klar das die meisten Passwörter kaum noch funktionieren werden... Wenn man Usern dann noch solche Mails sendet scheucht man den letzten auf zum ändern. Das ist ja auch so ziemlich das letzte Mittel aus vermeintlichen Peinlichkeiten Kapital zu schlagen. Da hatte der Erpresser aber ordentlich Geduld mich zu beobachten... So ganz ohne Cam ;) Die sind wenn vorhanden alle ab geklebt oder funktionieren unter Linux nicht. Aber welche Möglichkeiten gibt es denn zum Verwalten? Plattform übergreifend? -> eigen Thread bitte.. Ob eine Mail Adresse in irrend einen Quellen vorhanden ist kann man übrigens hier prüfen https://breachalarm.com/ Wer sein Password noch nicht geändert hat sollte dies unbedingt tun... Ob die Daten wirklich von Pollin stammen kann ich natürlich nicht wirklich beweisen....
:
Bearbeitet durch User
Alex G. schrieb: > Stell aber open source nicht als automatisch sicherer als Closed source > hin. > Die Vergangenheit hat gezeigt dass dies nicht der Fall ist. Siehe als > prominentestes Beispiel den Heartbleed bug oder diese Wlan > verschlüsselungssache vor ein paar Monaten... Ja, da sollte man sich natürlich nicht täuschen lassen. Gerade Heartbleed ist echt bitter,... Allerdings ist die Wahrscheinlichkeit einer hohen Dunkelziffer bei ClosedSource deutlich höher. Schon alleine das Potential, dass man den Programmcode, "einfach so", jederzeit und ohne Bedingungen prüfen kann, ist für mich ein deutlicher Sicherheitsgewinn. Dafür kann man den Hersteller der ClousedSource u.U. (Vertragbedingungen!) in Haftung nehmen.
Marco H. schrieb: > Aber welche Möglichkeiten gibt es denn zum Verwalten? Plattform > übergreifend? -> eigen Thread bitte.. Keepass. Läuft und Win, Linux und Android. Syno hab ich noch nicht probiert. Dann mach doch einen auf.
Wieso nicht einfach eine passwortgeschützte Excel-Tabelle? So mach ich es. Xmlx-files kann man unter ios, android und linux öffnen - das Master-PW sollte eben sicher sein und bei der Auswahl der Androidapp sollte man auch etwas genauer hin schauen, bevor man das spreadsheet öffnet...
Jeffrey L. schrieb: > Wieso nicht einfach eine passwortgeschützte Excel-Tabelle? Geht auch. Ein Password Manager kann aber bequemer sein: - Der Anwendung User+Password automatisiert in einem Rutsch reinjagen. - Direkt die eingetrage URL aufrufen, statt umständlich per Clipboard. - Nach kurzer Zeit das Clipboard löschen, damit das Password nicht noch am nächsten Tag drin steht. - Vorschläge für gute Passwords, insbesondere solche, die man knotenfrei tippen und sich für ein paar Sekunden merken kann. PS: Mancher hats auch schon geschafft, in einem Excel-Sheet nach jahrelangem hinten dran hängen den Inhalt endlich alphabetisch zu sortieren. Leider aber nicht den Inhalt anhand der ersten Spalte, sondern nur die erste Spalte. Wohl dem, der es gleich merkt, nicht erst dann, wenn ers braucht. ;-)
:
Bearbeitet durch User
A. K. schrieb: > Leider aber nicht den Inhalt anhand der ersten Spalte, > sondern nur die erste Spalte. Wohl dem, der es gleich merkt, nicht erst > dann, wenn ers braucht. ;-) Hallo A.K., kannste das mal konkretisieren? Ich habe momentan damit ein Verständnisproblem und würde gerne Fehler in meinen Exel-Tabellen vermeiden. Gruss Asko
Asko B. schrieb: > Hallo A.K., > > kannste das mal konkretisieren? > Ich habe momentan damit ein Verständnisproblem und würde gerne > Fehler in meinen Exel-Tabellen vermeiden. > > Gruss Asko Er meinte damit dass man die Namens-Spalte nach dem Alphabet sortiert, aber versehentlich nicht die Passwörter entsprechend mitnimmt und somit die Zuordnung nicht mehr stimmt ;)
Hallo Alex, entweder hab ich immer alles richtig gemacht, oder dieses Problem ist mir noch nie aufgefallen. Bei mir ändern sich auch die Zelleninhalte nach Sortierung. Irgendwie stehe ich immernoch au´m Schlauch betreffs dieses Hinweises. Das dürfte ja nicht nur Passwortzuordnungen sondern ALLE Tabellen betreffen. Gruss Asko
Asko B. schrieb: > entweder hab ich immer alles richtig gemacht, oder dieses Problem > ist mir noch nie aufgefallen. Ist eine Weile her, also altes Excel, aber das ging ungefähr so: (1) Wähle die erste Spalte aus, dann Daten / irgendwie Sortieren. (2) Wähle das ganze Sheet aus, dann Daten / irgendwie Sortieren. Hab hier nur LibreOffice, das fragt vorsichthalber nach. Ein Password-File wars zwar nicht, aber fast genauso blöd.
:
Bearbeitet durch User
Marco H. schrieb: > Sinnbildlich macht man den betroffenen Angst man hätte über den Browser > Videos gemacht beim "sie wissen schon" und droht damit diese an die > Kontaktliste die man geraubt hätte zu verteilen. Also man hat angeblich nicht nur ein Video gemacht, man ist auch irgend wie an eine Kontaktliste gekommen ... also wurde das Handy gleich mitgehackt. Dieses Wort "hacken" ist ja inzwischen in aller Munde und ist inzwischen schon zu einer Plattitüde geworden. Frauen haben scheinbar damit zu kämpfen dass Leute ihnen über Nachrichten-Dienste im unpassendsten Moment einfach mal ein P€nisbild senden. Das war einmal bei "Yesterdayslie" (Twitch) so, sie hat sich kurz erschreckt als sie auf ihr Smartphone gesehen hat. Wenn man sich als Mann bei Single-Diensten anmeldet, dann ist es nahezu unmöglich dass einen mal eine Frau anschreibt. Selbst wenn man mit einer Frau kommunizieren möchte ist es schwer da die Frau scheinbar immer mit 10 bis 20 Männern gleichzeitig schreibt. Meldet man sich jedoch spaßeshalber mal als Frau an, dann bekommt man unaufgefordert massenhaft Nacktbilder von Männern und P€nisbilder zugeschickt. Die Nachrichtenbox quillt über von perversen Texten und dann baut man natürlich eine große Löschmauer um sich auf.
Äh, was hat das jetzt mit dem Thema dieses Threads zutun? ._.' Aber ja, da ist leider einiges dran. Dummerweise evolutionär bedingt (Mann will sich verteilen, Frau will Sicherheit) und wird sich so schnell nicht ändern...
Hallo A. K., also Entwarnung... Beruflich muss ich mit Microsoft-Exel arbeiten. Privat tue ich das mittlerweile auch, weil zB. die Farbzuordnung von MacOS und Microsoft nicht passt(stimmt). Früher (<2015) war ich im Auslandseinsatz und hatte nicht immer einen IT-betreuten Rechner. Da war ich der IT-Manager selbst. ;-) Tabellen, mal mit Laptop und mal mit Desktoprechner bearbeitet sehen sehr "zerpflückt" aus. Und das kann ich nicht brauchen. LibreOffice oder etwas anderes habe ich zugegebenermaßen noch nicht probiert. Gruss Asko
Asko B. schrieb: > LibreOffice oder etwas anderes habe ich zugegebenermaßen noch > nicht probiert. Ist genauso brauchbar, wie MS-Office, nur eben kostenlos...
LOL, bei Pollin hatte ich noch ne Prepaid-Nr. eingetragen, deren SIM-Karte in einem Nokia 1208 steckt. Das kann man nur mit der Axt hacken. Aber ich hab heute morgen eine Infomail von mods.dk (Sammlung von Modifikationen an Amateurfunkgeräten) bekommen, dass es dort vor ca. 2,5 Jahren einen Einbruch auf den Server gab, bei dem ein Angreifer mittels eines hochgeladenen Skripts E-Mail-Adressen, User-Namen und Passwort-Hashes (nicht die Passwörter selbst) abgreifen konnte. In dieser Zeit wäre es zumindest theoretisch möglich, zu diesen Hashes mittels Brute-Force ein geeignetes Password zu errechnen. Gerade bei Funkamateuren ist es ja üblich, seine Accounts mit dem Rufzeichen zu verknüpfen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.