Forum: Offtopic Pollin wurde gehackt

Passt schon. Geh einfach auf die Pollin-Seite und log dich ein.

Das ist eine Reaktion auf Phishing-Mails, die gezielt an Kunden aus der 
Datenbank von Pollin versendet wurden, mit z.B. Cyberport als 
angeblichem Lieferanten. Ich hatte gestern auch so eine erhalten. In 
diesen Mails war ggf. auch die hinterlegte Bankverbindung aufgeführt.

http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-Kunden-3280449.html

Kai A. schrieb:
> Was mich jedoch Wundert ist das kein Salt bzw mehrfaches Haschen des PWD
> der Fall war da sonst das PWD ja Sicher wäre.

Ob das Passwort dem Hacker etwas nutzt oder nicht, oder wie hoch der 
Aufwand zur Klartextermittlung etwa wäre, steht hier nicht wirklich zur 
Debatte. Die Datenbank wurde gehackt und als Folge davon wurden 
vorsorglich die Passwörter geplättet. Das ist eine Routine-Reaktion.

Aus der Tatsache der Phishing-Mails selbst geht nicht hervor, dass 
Kunden-Passwörter entschlüsselt wurden. Das ist dafür nicht 
erforderlich. Dies bedeutet andererseits aber nicht, dass die Passwörter 
sicher wären.

Wer in seinen Daten eine Konto- oder Kartennummer hinterlegt hatte, der 
sollte in nächster Zeit auf sein entsprechendes Konto achten, denn diese 
Daten liegen dem Hacker unverschlüsselt vor und wurden auch in den Mails 
genutzt.

Christian M. schrieb:
> Hacker sind friedlich!

Nur die White-Hats darunter. Hacker ist der Oberbegriff und schliesst 
auch Black-Hats mit ein.

erstmal mit einem fake-Account anmelden.
wenn es dann in etwa heisst:

"Willkommen bei (...)" wäre ich doch etwas vorsichtig ;)

Anmelden scheint da gerade nicht möglich zu sein...

bei mir bleibt die Seite weiss.

So, und jetzt kommt bei mir 'Wartungsarbeiten'

Der Server scheint vollkommen überlastet zu sein. Naja, php ist so 
einfach für sowas nicht zu verwenden.

Wohl dem, der das Faxgerät noch nicht ausgemustert hat ;)

Ist aber auch beknackt, an alle Internet Kunden eine Mail zu 
verschicken, wo man zum Ändern des PW aufgefordert wird, und dann nicht 
auf einen Ansturm gefasst zu sein von Leuten, die das dann auch machen 
wollen.

Interessant wäre der Zeitpunkt des Hacks, hatte mein PW gerade geändert.

Matthias S. schrieb:
> Ist aber auch beknackt, an alle Internet Kunden eine Mail zu
> verschicken, wo man zum Ändern des PW aufgefordert wird, und dann nicht
> auf einen Ansturm gefasst zu sein von Leuten, die das dann auch machen
> wollen.

Es geht nicht anders. Der Hinweis über den Hack muss frühzeitig 
erfolgen.

Ich habe es soeben problemlos geschafft, ohne jede Verzögerung.

Matthias S. schrieb:
> Interessant wäre der Zeitpunkt des Hacks, hatte mein PW gerade geändert.

Das legt nahe, dass du das gleiche PW auch anderswo verwendet hast. 
Sonst wäre das ja egal.

A. K. schrieb:
> Das legt nahe, dass du das gleiche PW auch anderswo verwendet hast.
> Sonst wäre das ja egal.

Hä? Kapier ich jetzt nicht. Warum legt das das nahe?
Pollin fordert auf, ein neues Passwort zu vergeben. Genau das hatte ich 
vor einigen Tagen gemacht. Wenn die Jungs davor abgegriffen haben, dann 
spielt das keine Rolle für mich, wenn das erst gestern war, aber sehr 
wohl.
Wer ist schon so blöd und nimmt immer die gleichen Passwörter? - ich 
zumindest nicht.

Es ist von "erheblicher krimineller Energie" die Rede. Wie muss man das 
verstehen?

Oliver S. schrieb:
> Es ist von "erheblicher krimineller Energie" die Rede. Wie muss
> man das
> verstehen?

Das der "Eindringling" nicht durch "Doppelklick" sich Zugang verschafft 
hat...

Matthias S. schrieb:

> Wer ist schon so blöd und nimmt immer die gleichen Passwörter?

Da sich die Anzahl der benötigten Passwörter im normalen Leben
schon im Bereich von >>20 bewegt, muss man sich schon irgend-
etwas überlegen. Natürlich kann man sich sämtliche Passwörter
irgendwo aufschreiben,aber das wäre z.B. bei einem Einbruch
auch nicht so toll. Ehrlich gesagt habe ich da noch keine
richtige Lösung gefunden. Mich würde mal interessieren, wie
das andere Forenmitglieder handhaben.

Harald W. schrieb:
> Da sich die Anzahl der benötigten Passwörter im normalen Leben
> schon im Bereich von >>20 bewegt, muss man sich schon irgend-
> etwas überlegen.

z.B.
eine Kombination aus
wo ich mich einlogge, wer ich bin und weiterer personenbezogener Kram.

da brauche ich keinen Passwort-Tresor.

Matthias S. schrieb:
> Pollin fordert auf, ein neues Passwort zu vergeben. Genau das hatte ich
> vor einigen Tagen gemacht. Wenn die Jungs davor abgegriffen haben, dann
> spielt das keine Rolle für mich, wenn das erst gestern war, aber sehr
> wohl.

Das gestern noch vorhandene PW ist heute gelöscht, also musst du so oder 
so ein neues PW vergeben. Wenn du das von gestern wiederverwendest, 
kommst du im Falle eines Falles in die ungünstige Situation, deine 
Überlegungen zur Harmlosigkeit der Wiederverwendung haarklein jemandem 
erklären zu müssen, der nur die Hälfte davon versteht.

Harald W. schrieb:
> Da sich die Anzahl der benötigten Passwörter im normalen Leben
> schon im Bereich von >>20 bewegt, muss man sich schon irgend-
> etwas überlegen.
...

> Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

Für Krempel mit mittleren Sicherheitsanforderungen (da gehören Webshops 
dazu) verwende ich:

https://addons.mozilla.org/en-US/firefox/addon/password-hasher/

Gibt es auch als Android-App

Harald W. schrieb:
> Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

Password Manager.

Roboform

Scheinbar ist der größte Ansturm vorbei, denn ich konnte eben mein 
Passwort ohne Mühe und Verzögerung ändern.

Harald W. schrieb:
> Ehrlich gesagt habe ich da noch keine
> richtige Lösung gefunden. Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

Sämtliche Passworte sind in einem Gedicht versteckt. Bei jedem Neuen 
kommt ein Reim hinzu.
:)

MfG Paul

Paul B. schrieb:
> Sämtliche Passworte sind in einem Gedicht versteckt.

Trägst du das auch mal vor...

"Passwort.txt" auf dem Desktop :)

Michael K. schrieb:
> Trägst du das auch mal vor...

Na klar -aber erst mal nur im engsten Kreis (um meinen Wohnzimmertisch).
:)
MfG Paul

Paul B. schrieb:
> Sämtliche Passworte sind in einem Gedicht versteckt.

und glaubst du wirklich, dass sich ein gewiefter Hacker keinen Reim 
drauf macht?
;-)

Paul B. schrieb:

> Sämtliche Passworte sind in einem Gedicht versteckt. Bei jedem Neuen
> kommt ein Reim hinzu.

Von Dir hätte ich auch nichts anderes erwartet. :-)

Wenigstens wissen die von Pollin das es großer Mist ist wenn so was 
passiert und informieren die Kunden.

Machen ja nicht alle Firmen. Google kennt Beispiele bei denen Daten 
abgezockt wurden und keiner per Email gewarnt wurde.

Ahh... und ich hatte mich schon gewundert, woher wohl in der 
Phishing-Email (ein ominöses Jobangebot für Geldtransaktionen blah) 
meine Realdaten (Name, Adresse und Telefonnummer) stammten bzw. wer die 
geleakt hat.

Dann waren das wohl die Daten von Pollin...

Bernd T. schrieb:
> Wenigstens wissen die von Pollin das es großer Mist ist wenn so was
> passiert und informieren die Kunden.

Angesichts der enthaltenen Daten sind sie dazu vermutlich auch rechtlich 
verpflichtet. Die dürften mittlerweile einen Sicherheits-Consultant im 
Haus haben, der sich darin auskennt.

Harald W. schrieb:
> Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

http://keepass.info/

Gibts sowohl für Desktop als auf Mobile Betriebssysteme.

Marek N. schrieb:
> KeePass
> +1

+1=3

Hab irgendwas um die 100 accounts darin gespeichert.
 Hoffe ja mal das die verschlüsselung nicht geknackt wird ;)

Bin echt enttäuscht von Pollin. Das bekräftigt mich aber weiterhin für 
möglichst alles einen eigenen Email-alias zu nutzen, dann weiss man 
wenigstens wem man den Spam zu verdanken hat. UND die Datendiebe haben 
nicht gleich den Usernamen für andere Dienste mit ggf. gleichem 
Passwort...

Wer Gmail nutzt der sei zu dem hier geraten:

https://gmail.googleblog.com/2008/03/2-hidden-ways-to-get-more-from-your.html

Meine Provider können das leider beide nicht...

Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter 
in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt 
sind.

Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails.

Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher 
geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer 
Datenbank abzulegen.
Herzlichen Glückwunsch!

Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen...

np r. schrieb:
> Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher
> geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer
> Datenbank abzulegen.
> Herzlichen Glückwunsch!

Ich muss also auch davon ausgehen, dass Menschen sich tatsächlich den 
Kracher leisten, im Jahre 2016 noch bei mehreren Diensten des gleiche 
Passwort zu verwenden.
;-)

Sollten die Angreifer wirklich mein (vorheriges) Pollin Passwort haben, 
so können sie damit nichts anfangen. Es steht in keinerlei Verbindung zu 
meinen anderen Passwörtern.

np r. schrieb:
> Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter
> in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt
> sind.
>
> Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails.

Ganz ehrlich: Welche Antwort willst du denn haben?

Wenn sie dir schreiben würden, dass die PW super-duper-verschlüsselt 
wären, würdest du das doch nicht glauben, und hier auch bloß posten, 
dass Pollin mauert!

> Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher
> geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer
> Datenbank abzulegen.
> Herzlichen Glückwunsch!
>
> Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen...

Dummes Gelaber! - Wie gut oder schlecht die PW bei Pollin verschlüsselt 
waren, ist doch total nebensächlich. In so einem Falle sollte man 
immer(!) neue PW vergeben.

Und wie mein Vorposter schrieb: Wer seine PW mehrfach verwendet, der ist 
einfach selbst dran schuld, und sollte sich keinesfalls ereifern, dass 
eventuell möglicherweise sein PW nicht verschlüsselt gespeichert sein 
könnte.

Es gibt Anbieter die haben Klartext PWDs andere verschlüsseln.
Jedoch wenn diese zugriff auf die Server/Daten haben können die auch 
Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch 
Entschlüsseln.
Aber da hält sich eh jede Firma in Schweigen wie deren Systeme 
Abgesichert sind ect um nicht noch zusätzliche Negative Presse zu 
bekommen sowie ggfs noch Klagen zu erhalten.
Aber in vielen Firmen ist es auch so das auch im IT Bereich gespart wird 
und viele vorgesetzte auch nicht den Plan davon haben und verstehen 
weshalb dort dauernd zusätzlich Geld für ausgegeben werden muss wenn es 
doch auch so läuft...

Kai A. schrieb:
> Jedoch wenn diese zugriff auf die Server/Daten haben können die auch
> Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch
> Entschlüsseln.

So nicht, jedenfalls wenn nicht zu doof gemacht. Das ist eine 
Einwegverschlüsselung, d.h. es gibt keinen regulären Weg, sie zu 
entschlüsseln.

Je nach Methode und den Eigenschaften des Passwortes kann es trotzdem 
möglich sein, aber dabei hilft Kenntnis des Programms nicht viel weiter. 
Dafür aber ein schneller Rechner, genug Platz und etwas Zeit.

np r. schrieb:
> Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter
> in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt
> sind.
>
> Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails.
>
> Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher
> geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer
> Datenbank abzulegen.
> Herzlichen Glückwunsch!
>
> Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen...

wieviel Mail werden in Firmen mit derartigem Mail-Aufkommen
noch wirklich direkt beantwortet?

wo sitzt da überhaupt noch echtes Personal dahinter???

● J-A V. schrieb:
> wieviel Mail werden in Firmen mit derartigem Mail-Aufkommen
> noch wirklich direkt beantwortet?

Wenn es etwas ist, das für Pollin geschäftlich relevant ist und einer 
Antwort bedarf, vermutlich jede. Einen Anspruch auf eine individuelle 
Antwort auf die tausendste Frage zum gleichen Thema hast du freilich 
nicht. ebensowenig eine Antwort, die z.B. deren Geschäftsprozesse 
offenlegt.

> wo sitzt da überhaupt noch echtes Personal dahinter???

Was sonst?

Jenseits des Autoresponders (haben die Mail erhalten) dürfte ein 
KI-System zur Reaktion auf Mails nur selten anzutreffen sein. Und da 
Mails in ganz normalen Geschäftsprozessen heutzutage routinemässig 
verwendet werden, ist ein "forward to /dev/null" nicht wirklich eine 
Lösung.

Irgendwas war da sowieso krumm..

Ich habe meine T-Online-EMail das allererste mal bei einer Pollin 
Bestellung benutzt und wurde sofort 2 Tage später mit Werbung zugemüllt.

Ich hatte die EMail schon lange, nur noch nie angegeben.

der ganze Laden ist krumm.

● J-A V. schrieb:
> der ganze Laden ist krumm.

Inwiefern? Gehackte Datenbanken kommen in den besten Familien vor. Krumm 
ist da jemand, der dies zu verbergen versucht. Es ist kein Geheimnis, 
dass ein Teil der Ware Restposten sehr unterschiedlicher Qualität ist. 
Die Reaktion auf Reklamationen ist aber gut, soweit zumindest meine 
Erfahrung.

A. K. schrieb:
> Die Reaktion auf Reklamationen ist aber gut, soweit zumindest meine
> Erfahrung.

Sehe ich auch so. Da kann man nicht meckern.

A. K. schrieb:
> ● J-A V. schrieb:
>> der ganze Laden ist krumm.
>
> Inwiefern?

3 mal was bestellt, 3 mal defekt angekommen,
weil es nicht richtig vepackt wurde.

irgendwann dann nochmal versucht was zu bestellen,
Die Artikel OK, die Rechnung aber falsch. Zu meinen Gunsten.
-hab ich dann nicht weiter verfolgt ;)

A. K. schrieb:
> Krumm ist da jemand, der dies zu verbergen versucht.

"Krumm" wäre hier, dass man hartnäckig und mit individuell geschriebenen 
E-Mails zu verbergen versucht, dass man ganz offensichtlich die 
Passwörter nicht nach dem Stand der Technik gespeichert hat.

Das ist aber eine Information, die für den betroffenen Kunden durchaus 
wertvoll ist.
Ich habe ja auch nicht nach Pollins Geschäftsprozessen oder nach ihrer 
Verschlüsselung gefragt - das darf gerne Pollins Geheimnis bleiben.
Aber die Information, dass mein Passwort ungeschützt und im Klartext an 
unbekannte Dritte gegangen ist, sollte man mir geben.

Kai A. schrieb:
> Jedoch wenn diese zugriff auf die Server/Daten haben können die auch
> Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch
> Entschlüsseln.

Gute und zuverlässige Verschlüsselungen sind OpenSource: jeder kann sich 
den Quellcode angucken und auf Fehler oder Backdoors kontrollieren.

Derzeitiger Standard sind m.W. gesalzene 
(https://de.wikipedia.org/wiki/Salt_(Kryptologie)) SHA-2 
(https://de.wikipedia.org/wiki/SHA-2) Hashes mit mehreren Iterationen. 
Wer diese Möglichkeit einsetzt, kann (und sollte) dies auch öffentlich 
Kundtun, ohne dass es der Passwortsicherheit schadet.

np r. schrieb:
> "Krumm" wäre hier, dass man hartnäckig und mit individuell geschriebenen
> E-Mails zu verbergen versucht, dass man ganz offensichtlich die
> Passwörter nicht nach dem Stand der Technik gespeichert hat.

Das schliesst du woraus? Für mich ist das keineswegs offensichtlich.

Selbst wenn eine solche normale Datenbank mit der sichersten verfügbaren 
Methode für Passwörter arbeitet - selbst dann müsste bei einem solchen 
Hack an alle möglicherweise Betroffenen eine Warnung raus, die 
Passwörter zu ändern (das ist m.W. auch Vorschrift). Allein schon, weil 
ein 6-stelliges Passwort aus Kleinbuchstaben auch dann nicht sicher sein 
kann.

Fragen nach den Details der Speicherung können jene, die Mail-Anfragen 
erhalten, nicht selbst beantworten. Und jede Antwort in einer solchen 
Frage muss so gestaltet sein, dass sie für die Firma keine negativen 
rechtlichen Folgen hat. Dass man da an normale Kunden adressierte Texte 
erhält nimmt nicht Wunder - wundern würde mich, wenn es irgendwo anders 
liefe. Eine Antwort wie "ihr Passwort ist sicher" würde ich auf eine 
solche Frage nicht einmal dann geben, wenn ich das Verfahren für sehr 
sicher halte.

krumm ist jemand der krummes tut

Ich bestelle selbst regelmäßig und schon länger bei Pollin Schnäppchen..

Das Krumm war mehr auf die Datenschleuderei von Emails bezogen.

Old P. schrieb:
> noch ist gesichert, dass Pollin die
> Passwörter unverschlüsselt sichert.

A. K. schrieb:
>> Passwörter nicht nach dem Stand der Technik gespeichert hat.
>
> Das schliesst du woraus? Für mich ist das keineswegs offensichtlich.

Für Dich nicht, da Du offenbar nicht bei Pollin nachgefragt hast.

Ich habe inzwischen - wie oben bereits erwähnt - mehrmals bei Pollin 
nachgefragt.
Darauf habe ich jeweils unterschiedliche, individuell formulierte 
Antworten erhalten, die mir mitteilten,
- dass man über die polizeilichen Ermittlungen keine Auskunft geben 
könne (wonach ich nicht gefragt hatte),
- oder dass man über "Pollins Sicherheitskonzept" keine Auskunft geben 
könne (wonach ich nicht gefragt hatte).

Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin 
die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik 
und dass die Passwörter nicht im Klartext gespeichert waren. Welches 
Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht.

Dies hat Pollin mir nicht bestätigen können oder wollen, so dass ich 
folgern muss, dass die Passwörter im Klartext gespeichert waren.

Pollin scheint da zu vergessen, dass die gespeicherten Daten meine 
Daten sind und ich durchaus Auskunft darüber verlangen darf, wem welche 
Daten zugänglich gemacht worden sind - absichtlich oder aus 
Schusseligkeit.

np r. schrieb:
> Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin
> die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik
> und dass die Passwörter nicht im Klartext gespeichert waren. Welches
> Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht.

Und Du bist der Welt Sachsverständige dem jeder Konzern/Unternehmen 
antworten muss wenn er sich so eine total dumme und beknackte Frage 
stellt, die auch noch sowas von Noobie ist das Leute mit nem bisschen 
Ahnung Dich nur belächeln!

Dazu wird es bestimmt noch bei Zeit eine Stellungnahme von Pollin 
geben.. womöglich hast Du nur Angst das Dein Passwort "123456" gemopst 
wurde.

Philipp K. schrieb:
> total dumme und beknackte Frage
> stellt, die auch noch sowas von Noobie ist

Vielleicht kannst Du das mit einer etwas sachlicheren Aussage 
unterfüttern statt mit persönlichen Angriffen?



P.S.:
Leider lockt dieses - sonst sehr gute und hilfreiche - Forum oft 
Teilnehmer an, die Aussagen und Informationen zur Sache nicht von 
personenbezogenen Aussagen unterscheiden können. Solltest Du dazu 
gehören, möchte ich Dich bitten, die Begriffe "argumentum ad rem" und 
"argumentum ad hominem" nachzuschlagen.
Dein nächstes Posting könnten wir dann zur Lernkontrolle gemeinsam 
auswerten.

Also erstmal einen persönlichen Angriff sehe ich hier nicht, Deutsch 
lernen.

Einer Firma Klartextspeicherung Vorzuwerfen ist schon eine Nummer über 
die man sich vorher Gedanken machen sollte!

Ich denke mal eher im besten Fall wurden fest und sicher verschlüsselte 
Passwörter gemoppst(auch da bekommt jeder Nachricht), wer verrrät dann 
in dem Falle bitte schön seine Verschlüsselungsmethode?

Noobie wird man, indem man sich mit ca. Tausend anderen "Schlauen" 
Personen frühzeitig diese eine Frage stellt und das Unternehmen mit 
Nachrichten Bombardiert.

Philipp K. schrieb:
> Ich denke mal eher im besten Fall wurden fest und sicher verschlüsselte
> Passwörter gemoppst(auch da bekommt jeder Nachricht), wer verrrät dann
> in dem Falle bitte schön seine Verschlüsselungsmethode?

1.) Werden die meist nicht verschlüsselt sondern gehashed.
2.) Die Methode sollte nicht geheim sein müssen, sonst ist die 
Sicherheit so wieso bereits nicht mehr gegeben (Security by Obscurity).

Die größte Gefahr ist, dass die auf einen einfachen Hash für alle 
Passwörter setzen und man somit bei einem Klau der ganzen Datenbank mit 
einer "Geburtstags-Attacke" ziemlich viele Klartext Passwörter 
erwirtschaften kann.

Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein 
SOLLTE, ist es sowieso egal.

Old P. schrieb:
> dass die gespeicherten Daten *meine*
>> Daten sind...
>
> Na da wäre ich nicht so sicher ;-) Wer hat das Datensystem angelegt und
> wer erstellt und verwaltet das System mit Geburtsdaten, Andressen (also
> Straßen und Orte nach Kriterien benennen)?
> Du bist "nur" ein Individium, dass sich den von Anderen aufgebauten
> Service zu nutze macht!

Ehrlich gesagt - jetzt bin ich einigermaßen platt. :-o
Du meinst also, dass die Informationen über Geburtsdaten, Adressen, 
Straßen und Orte,... nicht persönliche Daten des jeweiligen Kunden sind?

Das ist im BDSG und in der Richtlinie 95/46/EG aber anders geregelt.
Dort wird auch die Auskunftspflicht und der Umgang mit den Daten 
geregelt.

Zu Paswörtern geben die jeweiligen Landesdatenschutzbeauftragten noch 
eine kleine Hilfestellung, damit - frei nach Philipp K. (philipp_k59) - 
Noobies, die in die Verlegenheit geraten, Passwörter speichern zu 
müssen, keine dummen und beknackten Fragen zu stellen brauchen:

"Die Passwörter sind im Computer verschlüsselt zu speichern."

"In Protokollen oder Dateien dürfen Passwörter nie in
Klarschrift erscheinen."

Philipp K. schrieb:
> wer verrrät dann
> in dem Falle bitte schön seine Verschlüsselungsmethode?

Danach hatte ich nicht gefragt.
Das hatte ich auch oben ausdrücklich geschrieben.

Ich hatte eine kurze, einfache Frage gestellt, die mit "Ja" oder "Nein" 
beantwortet werden konnte.
Statt dessen hat man sich die Mühe gemacht, mir seitenweise individuell 
formulierten Text in mein Postfach zu werfen und auf Fragen zu 
antworten, die ich nicht gestellt hatte.

Philipp K. schrieb:
> Also erstmal einen persönlichen Angriff sehe ich hier nicht, Deutsch
> lernen.

OK, da sich das "Deutsch lernen" ja nicht auf meine Person beziehen kann 
sondern als Sachäußerung zu verstehen sein muss, nehme ich an, Du willst 
uns mitteilen, dass Du mit der Lektüre zu "argumentum ad rem" und 
"argumentum ad hominem" nicht weitergekommen bist, da Du noch im Stadium 
"Ich nix sehen, ich erst Deutsch lernen" bist.
Kein Problem. Du kannst die Erläuterungen aber auch auf Englisch 
nachschlagen. Oder auf Urdu. Die Begriffe selbst sind sowieso 
Lateinisch. Lass Dich nicht verwirren.

Cyblord -. schrieb:
> Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein
> SOLLTE, ist es sowieso egal.

Die Techniken und das ganze drumherum sind mir schon seit 2003 bekannt, 
da habe ich als Hobby meine Erste Internetseite mit Login und Datenbank 
erstellt.. wer das heutzutage nicht macht hat keinen IT-ler angestellt, 
sehe ich so als Hobbyist.

Philipp K. schrieb:
> Cyblord -. schrieb:
>> Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein
>> SOLLTE, ist es sowieso egal.
>
> Die Techniken und das ganze drumherum sind mir schon seit 2003 bekannt,
> da habe ich als Hobby meine Erste Internetseite mit Login und Datenbank
> erstellt.. wer das heutzutage nicht macht hat keinen IT-ler angestellt,
> sehe ich so als Hobbyist.

Ändert nichts daran dass das noch häufig gemacht wird. Frag doch mal nen 
Fachinformatiker oder "Bachelor für Medien und Kommunikation" nach 
solchen Dingen. Oft macht dann noch der 15 jährige Enkel vom Chef die 
Betreuung nebenher weil es mit PHP Frickeln kann. So läufts leider.

Philipp K. schrieb:
> wer das heutzutage nicht macht hat keinen IT-ler angestellt,
> sehe ich so als Hobbyist.

Das sehe ich genauso.
Warum aber kann man dann nicht einfach auf die simple Frage

"Können Sie mir bitte bestätigen, dass die Passwörter nicht im 
Klartext gespeichert waren?"

antworten:

"Ja, selbstverständlich kann ich das bestätigen."

oder

"Nein, natürlich waren sie nicht als Klartext gespeichert."

??
So eine Antwort wäre doch viel kürzer, einfacher und sinnvoller als 
seitenweise über "polizeiliche Ermittlungen" und "Sicherheitskonzepte" 
zu schwadronieren, über die man jedoch leider nichts sagen dürfe, und 
sich dabei jedes Mal mit immer neuen Formulierungen einen abzubrechen, 
als hätte man sonst keine Arbeit?

Musste jetzt selbst erstmal nen bisschen Daten zusammen Tragen und habe 
mal nach Zertifizierungen oder ähnlichem gesucht..

Von Golem:
Laut Pollin hat der Datenschutzbetrauftragte des Elektronik-Shop bereits 
die zuständige Aufsichtsbehörde informiert, zudem will das Unternehmen 
Strafanzeige stellen. Die technische Analyse des Angriffs dauere weiter 
an.

Pollin hat ja ein Prüfsiegel für den OnlineShop mit folgenden 
Prüfkritirien (Ich weiß selbst das das wenig auszusagen hat, ist ja kein 
ISO und sehr breit ausgelegt, vielleicht ein Indiz):

Der Anbieter wendet ein angemessenes Sicherheitskonzept an, das 
insbesondere Folgendes nachweislich gewährleistet:
die Sicherheit sensibler und personenbezogener Daten seiner Kunden;
ausreichenden Schutz seiner Systeme und Verfahren gegen Zugriff 
unberechtigter Dritter;
die Verschlüsselung bei der Transaktion von Zahlungsinformationen.







Cyblord -. schrieb:
> Ändert nichts daran dass das noch häufig gemacht wird. Frag doch mal nen
> Fachinformatiker oder "Bachelor für Medien und Kommunikation" nach
> solchen Dingen. Oft macht dann noch der 15 jährige Enkel vom Chef die
> Betreuung nebenher weil es mit PHP Frickeln kann. So läufts leider.

Jepp, kenne ich selbst einige Beispiele ;)

np r. schrieb:
> Warum aber kann man dann nicht einfach auf die simple Frage

Beispielsweise weil die antwortende Person weder entsprechend Ahnung hat 
noch dazu autorisiert ist. Und jene Person, die es wäre, ist grad mit 
der Sache selbst beschäftigt und hat keine Zeit, sich mit lauter solchen 
Mails zu befassen. Du bist nicht der einzige Kunde von Pollin.

Die Person, die auf solche Mail antwortet, baut so weit wie sie es 
versteht aus vorgegebenen Aussagen eine Antwort zusammen. Dass die nicht 
zwingen auf die Frage passen ist klar, denn diese Person ist in solchen 
Fragen nicht kompetent. Kategorie Callcenter.

np r. schrieb:
> Ehrlich gesagt - jetzt bin ich einigermaßen platt. :-o
> Du meinst also, dass die Informationen über Geburtsdaten, Adressen,
> Straßen und Orte,... nicht persönliche Daten des jeweiligen Kunden sind?

Du hast einen Anspruch darauf, solche auf dich bezogenene Inhalte der 
Datenbank zu erfahren. Auskunft über die Technik, wie diese gespeichert 
sind, gehört dazu nicht.

A. K. schrieb:

> Die Person, die auf solche Mail antwortet, baut so weit wie sie es
> versteht aus vorgegebenen Aussagen eine Antwort zusammen.

Ich kenne das aus dem Reklamationsschriftverkehr mit Internet-Providern: 
Textbausteine in den Würfelbecher, schütteln, in das Antwortmail kippen 
und ohne weitere Prüfung als Antwort versenden. In der Schule wäre diese 
Antworten jedes Mal eine totale Themaverfehlung gewesen.

Richard H. schrieb:
> Ich kenne das aus dem Reklamationsschriftverkehr mit Internet-Providern:
> Textbausteine in den Würfelbecher, schütteln, in das Antwortmail kippen
> und ohne weitere Prüfung als Antwort versenden.

So ungefähr. Die kompetenten und oft auch teuren Personen braucht man 
dort, wo das Problem selber liegt. Wenn kompetente Fachkräfte eines 
Tages so billig sind wie Callcenter-Mitarbeiter, dann wird sich das 
vielleicht ändern. ;-)

Deshalb Reklamationen und Support Anfragen immer direkt mit 
Artikelnummer schreiben.

Dann hat der Servicemitarbeiter weniger zu tun und muss nicht lange 
Überlegen sondern kann meinen Vorschlag für den Ersatzartikel einfach 
per Copy-Paste akzeptieren.

Hmm nun wurden die Daten wohl an jemanden verkauft der User versucht zu 
erpressen.

Sinnbildlich macht man den betroffenen Angst man hätte über den Browser 
Videos gemacht beim "sie wissen schon" und droht damit diese an die 
Kontaktliste die man geraubt hätte zu verteilen.

Um die Glaubwürdigkeit zu untermauern wird das Passwort mitgeliefert. 
Eben genau das mit der email das bei Pollin Anwendung fand.

Das Zahlungsdaten abflossen wurde ja immer bestritten, diese sind 
außerhalb der EU aber auch ziemlich wertlos. Also versucht man es auf 
diese Tour die Daten in Geld umzusetzen.

Letztes Jahr gab es Auffälligkeiten bei google und Github.. Da 
Passwörter regelmäßig geändert werden und nicht gleich sind bei anderen 
Diensten bin ich mir ziemlich sicher das es von mir keine Videos von "na 
ihr wisst schon gibt"

Gibt es ähnliche Mails an andere Kunde ?

Wer so etwas bekommt -> nicht zahlen und nie Antworten !

Passwörter ändern ...

Old P. schrieb:
>> Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin
>> die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik
>> und dass die Passwörter nicht im Klartext gespeichert waren. Welches
>> Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht.
>
> Und genau das wird Dir kein Unternehmen der Welt sagen. Warum auch?
> Schon die Information ob oder ob nicht verschlüsselt wird, ist
> sicherheitsrelevant!

Auch wenn der Thread schon uralt ist, würde ich hier gerne einhaken:

Die Information ob, oder ob nicht verschlüsselt wird, bzw gehasht, wie 
man es bei Passwörtern macht, ist nicht sicherheitsrelevant. Wenn die 
Passwörter ordentlich gesalzen und gehasht wurden, dann bringt einem 
Angreifer das Wissen darüber gar nichts. Der Aufwand ist praktisch der 
gleiche.

Somit gibt es prinzipiell nur zwei Methoden, Passwörter zu sichern:

1.) Man nimmt sich aus dem vollen Schränken der OpenSource-Community ein 
von Experten entwickeltes, und zigmal von Experten geprüftes Verfahren.

2.) Man verschlüsselt gar nicht, setzt auf ClosedSource oder "Security 
by obscurity", bei der niemand nachprüfen kann, ob die Daten wirklich 
sicher sind.

Dreimal darf geraten werden, welche Methode man lieber geheim hält, und 
mit welcher man angeben kann...

Stell aber open source nicht als automatisch sicherer als Closed source 
hin.
Die Vergangenheit hat gezeigt dass dies nicht der Fall ist. Siehe als 
prominentestes Beispiel den Heartbleed bug oder diese Wlan 
verschlüsselungssache vor ein paar Monaten...

tja alt aber aktuell.... Es ist klar das die meisten Passwörter kaum 
noch funktionieren werden... Wenn man Usern dann noch solche Mails 
sendet scheucht man den letzten auf zum ändern.

Das ist ja auch so ziemlich das letzte Mittel aus vermeintlichen 
Peinlichkeiten Kapital zu schlagen. Da hatte der Erpresser aber 
ordentlich Geduld mich zu beobachten... So ganz ohne Cam ;) Die sind 
wenn vorhanden alle ab geklebt oder funktionieren unter Linux nicht.

Aber welche Möglichkeiten gibt es denn zum Verwalten? Plattform 
übergreifend? -> eigen Thread bitte..

Ob eine Mail Adresse in irrend einen Quellen vorhanden ist kann man 
übrigens hier prüfen https://breachalarm.com/

Wer sein Password noch nicht geändert hat sollte dies unbedingt tun...

Ob die Daten wirklich von Pollin stammen kann ich natürlich nicht 
wirklich beweisen....

Alex G. schrieb:
> Stell aber open source nicht als automatisch sicherer als Closed source
> hin.
> Die Vergangenheit hat gezeigt dass dies nicht der Fall ist. Siehe als
> prominentestes Beispiel den Heartbleed bug oder diese Wlan
> verschlüsselungssache vor ein paar Monaten...

Ja, da sollte man sich natürlich nicht täuschen lassen. Gerade 
Heartbleed ist echt bitter,...
Allerdings ist die Wahrscheinlichkeit einer hohen Dunkelziffer bei 
ClosedSource deutlich höher. Schon alleine das Potential, dass man den 
Programmcode, "einfach so", jederzeit und ohne Bedingungen prüfen kann, 
ist für mich ein deutlicher Sicherheitsgewinn.
Dafür kann man den Hersteller der ClousedSource u.U. 
(Vertragbedingungen!) in Haftung nehmen.

Isch 'abe gar keine Webcam...

;-)

Wieso nicht einfach eine passwortgeschützte Excel-Tabelle?
So mach ich es.

Xmlx-files kann man unter ios, android und linux öffnen - das Master-PW 
sollte eben sicher sein und bei der Auswahl der Androidapp sollte man 
auch etwas genauer hin schauen, bevor man das spreadsheet öffnet...

Jeffrey L. schrieb:
> Wieso nicht einfach eine passwortgeschützte Excel-Tabelle?

Geht auch. Ein Password Manager kann aber bequemer sein:
- Der Anwendung User+Password automatisiert in einem Rutsch reinjagen.
- Direkt die eingetrage URL aufrufen, statt umständlich per Clipboard.
- Nach kurzer Zeit das Clipboard löschen, damit das Password nicht noch 
am nächsten Tag drin steht.
- Vorschläge für gute Passwords, insbesondere solche, die man knotenfrei 
tippen und sich für ein paar Sekunden merken kann.

PS: Mancher hats auch schon geschafft, in einem Excel-Sheet nach 
jahrelangem hinten dran hängen den Inhalt endlich alphabetisch zu 
sortieren. Leider aber nicht den Inhalt anhand der ersten Spalte, 
sondern nur die erste Spalte. Wohl dem, der es gleich merkt, nicht erst 
dann, wenn ers braucht. ;-)

A. K. schrieb:
> Leider aber nicht den Inhalt anhand der ersten Spalte,
> sondern nur die erste Spalte. Wohl dem, der es gleich merkt, nicht erst
> dann, wenn ers braucht. ;-)

Hallo A.K.,

kannste das mal konkretisieren?
Ich habe momentan damit ein Verständnisproblem und würde gerne
Fehler in meinen Exel-Tabellen vermeiden.

Gruss Asko

Asko B. schrieb:
> Hallo A.K.,
>
> kannste das mal konkretisieren?
> Ich habe momentan damit ein Verständnisproblem und würde gerne
> Fehler in meinen Exel-Tabellen vermeiden.
>
> Gruss Asko
Er meinte damit dass man die Namens-Spalte nach dem Alphabet sortiert, 
aber versehentlich nicht die Passwörter entsprechend mitnimmt und somit 
die Zuordnung nicht mehr stimmt ;)

Hallo Alex,

entweder hab ich immer alles richtig gemacht, oder dieses Problem
ist mir noch nie aufgefallen. Bei mir ändern sich auch die Zelleninhalte
nach Sortierung. Irgendwie stehe ich immernoch au´m Schlauch betreffs
dieses Hinweises.
Das dürfte ja nicht nur Passwortzuordnungen sondern ALLE Tabellen 
betreffen.

Gruss Asko

Asko B. schrieb:
> entweder hab ich immer alles richtig gemacht, oder dieses Problem
> ist mir noch nie aufgefallen.

Ist eine Weile her, also altes Excel, aber das ging ungefähr so:

(1) Wähle die erste Spalte aus, dann Daten / irgendwie Sortieren.
(2) Wähle das ganze Sheet aus, dann Daten / irgendwie Sortieren.

Hab hier nur LibreOffice, das fragt vorsichthalber nach.

Ein Password-File wars zwar nicht, aber fast genauso blöd.

Marco H. schrieb:
> Sinnbildlich macht man den betroffenen Angst man hätte über den Browser
> Videos gemacht beim "sie wissen schon" und droht damit diese an die
> Kontaktliste die man geraubt hätte zu verteilen.

Also man hat angeblich nicht nur ein Video gemacht, man ist auch irgend 
wie an eine Kontaktliste gekommen ... also wurde das Handy gleich 
mitgehackt.

Dieses Wort "hacken" ist ja inzwischen in aller Munde und ist inzwischen 
schon zu einer Plattitüde geworden.


Frauen haben scheinbar damit zu kämpfen dass Leute ihnen über 
Nachrichten-Dienste im unpassendsten Moment einfach mal ein P€nisbild 
senden.

Das war einmal bei "Yesterdayslie" (Twitch) so, sie hat sich kurz 
erschreckt als sie auf ihr Smartphone gesehen hat.


Wenn man sich als Mann bei Single-Diensten anmeldet, dann ist es nahezu 
unmöglich dass einen mal eine Frau anschreibt. Selbst wenn man mit einer 
Frau kommunizieren möchte ist es schwer da die Frau scheinbar immer mit 
10 bis 20 Männern gleichzeitig schreibt.

Meldet man sich jedoch spaßeshalber mal als Frau an, dann bekommt man 
unaufgefordert massenhaft Nacktbilder von Männern und P€nisbilder 
zugeschickt. Die Nachrichtenbox quillt über von perversen Texten und 
dann baut man natürlich eine große Löschmauer um sich auf.

Äh, was hat das jetzt mit dem Thema dieses Threads zutun? ._.'

Aber ja, da ist leider einiges dran. Dummerweise evolutionär bedingt 
(Mann will sich verteilen, Frau will Sicherheit) und wird sich so 
schnell nicht ändern...

Hallo A. K.,

also Entwarnung...
Beruflich muss ich mit Microsoft-Exel arbeiten.
Privat tue ich das mittlerweile auch, weil zB. die Farbzuordnung
von MacOS und Microsoft nicht passt(stimmt).
Früher (<2015) war ich im Auslandseinsatz und hatte nicht immer
einen IT-betreuten Rechner. Da war ich der IT-Manager selbst. ;-)
Tabellen, mal mit Laptop und mal mit Desktoprechner bearbeitet
sehen sehr "zerpflückt" aus. Und das kann ich nicht brauchen.
LibreOffice oder etwas anderes habe ich zugegebenermaßen noch
nicht probiert.

Gruss Asko

Asko B. schrieb:
> LibreOffice oder etwas anderes habe ich zugegebenermaßen noch
> nicht probiert.

Ist genauso brauchbar, wie MS-Office, nur eben kostenlos...

https://www.heise.de/security/meldung/Erpresser-Mails-Online-Gauner-kassieren-jetzt-mit-Handynummern-ab-4134298.html