Magazin Unerlaubter Zugriff: eBay-Kunden sollen Passwort ändern

[F0X1786]

Mit solchen Aussagen bin ich immer vorsichtig. Es wird nicht genannt durch welche Lücke die 'Täter' an Mitarbeiter-Logins gekommen sind. Von einem angeblichen 'Freund' aus den Unterlagen geklaut, Lücke in gekaufter Software von Drittanbietern, Zero-Day Exploits..... Da muss nicht mal die IT-Abteilung eBay selbst Schuld sein. Überleg mal wie viel Lücken im iOS, Mac OS X, Java, Adobe Flash gefunden worden sind..

Einfach mal selbst überlegen zu wie viel Datenmengen man selber Zugriff besitzt und was passieren könnte, wenn jemand deinen Firmenaccount stehlen würde..

 

[TimoR.]

Ich habs vor paar Wochen erst geändert, also brauch ichs jetzt nicht mehr ändern da der Datendiebstahl von Februar/März ist ^^

Weiss nichts obs schon jemand geschrieben hat, aber das Problem ist weniger nur der Missbrauch des eBay-Accounts, sondern auch von anderen Accounts, WENN man woanders die gleiche E-Mail-Adresse + Passwort verwendet hat.

 

[simmac]

Salz, Pfeffer...

Da hast das haschieren (hashing) ganz vergessen, das kommt ja noch vor Pfeffer und Salz.

 

[lx88]

Da hast das haschieren (hashing) ganz vergessen, das kommt ja noch vor Pfeffer und Salz.

Gerade beim Haschieren kommt es auch immer auf die Qualität des Has(c)h-Funktion an. Perfektes Has(c)hing ist wohl eine richtige Kunst, denn viele dieser angeblichen Has(c)hs sind mit billigem Zeug gestreckt. Oder hast du mit "haschieren" etwa die Zubereitung von feinem Hack gemeint?

 

[simmac]

Oder hast du mit "haschieren" etwa die Zubereitung von feinem Hack gemeint?

Habe ich eigentlich schon, wollte schon "faschieren" schreiben, wie wir in Österreich dazu sagen, aber haschieren passt nun einmal auch zum englischen Wort "hashing" besser als Übersetzung.

 

[F0X1786]

Hashieren? Grüner Afghane?!

 

[Muffi123]

Das Problem mit sicherem Online-Einkaufen und zweifelsfreier Identitätsfeststellung ist nicht die fehlende Möglichkeit. Wir haben den elektronischen Personalausweis mit qualifizierter digitaler Signatur.

Hier vermeiden allerdings seit Jahren aus Kostengründen ausnahmslos alle Online-Händler diese wasserdichte Lösung weil sie eben Geld kostet.

Da muss ich als Händler wiedersprechen. Einkaufen mit Perso ist etwas was nur bei einem geringen Teil der Bevölkerung auf Begeisterung stößt. Datenschutz etc.. Zumindst in Europa. Die Amis sind in Sachen Datenschutz etwas lockerer. Und solange es von kaum einem Kunden akzeptiert würde investiert da logischwerweise keiner drin. Ich persönlich wäre dem nicht abgeneigt.

Vor allem sollte man aber mal anfangen Hacker, falls sie erwischt werden, für 10 Jahre wegzusperren. Selbst wenn die Daten nicht missbraucht werden sind die finanziellen Schäden die entstehen meist enorm. Ebay dürfte nun einige Kosten zu verbuchen haben.

LG

 

[mad8811]

Naja wir haben ja bei Apfeltalk LIVE gesehen, wie man sich schnell ein sicheres Passwort ausdenkt. Habe meins vorsichtshalber mal geändert

Ist aber echt ne Nummer, dass so etwas erst so spät bekannt wird.


Gesendet von meinem iPhone mit Apfeltalk

 

[Guy.brush]

Das ist relativ egal, die anderen Daten sind meist deutlich sensibler.

Mit Name, Adresse, Telefonnummer und Geburtsdatum lässt sich weitaus mehr "anstellen" als mit einer Kreditkartennummer,

Du meinst also solche Daten, die man (außer Geburtsdatum) von >90% der Bevölkerung im öffentlichen Telefonbuch nachlesen kann?

 

[NobodyisPerfect]

Ich denke schon das gute Hacker virtuell weggesperrt werden. Die werden kassiert von Sicherheitsfirmen oder arbeiten dann für die NSA oder... . Wenn es keine Hacker gebe, wäre glaube jedes OS offen wie ein Scheunentor. Ich glaube nicht das OS Firmen nur gelernte Sicherheitsexperten angestellt haben. Stellt dir einfach vor, sie würden nicht nach Sicherheitslücken suchen.

Es ist immer ärgerlich für Firmen die es betrifft, das ist klar. Aber daran sieht man es gibt positive und negative Seiten.

Ich persönlich würde mich lieber in Sachen IT-Sicherheit lieber von einem Hacker (oder Kellerkind) beraten lassen. Und nicht von rumotzenden, ignoranten IT-Sicherheitsexperten. Zum Glück sind nicht alle gleich, aber gerade in Foren ist so ein Verhalten sehr oft sichtbar (egal welches Basislager/Forum).

Zur Authentifizierung mit dem Person:
Ich kenne dies zum Beispiel von Foren, wenn man einen uncutpatch von Games haben will. Ich denke aber, der grösste Teil der Bevölkerung hatte schon ein mulmiges Gefühl. Ich hätte damit kein Problem.

 

[TomKee]

Du meinst also solche Daten, die man (außer Geburtsdatum) von >90% der Bevölkerung im öffentlichen Telefonbuch nachlesen kann?

Wer steht denn heut zu Tage noch im Telefonbuch außer Rentner und Mittelständische Firmen ??

Jede Telefonnummer die mich anruft kann ich per Telefonbuch "Rückwärtssuche" nachsuchen und es werden nie Einträge dazu gefunden.


La la Land...

 

[NobodyisPerfect]

In Sachen Sicherheit und sensiblen Umgang mit dem Internet:

Jeder gibt bei Apfeltalk seine Daten an, die Sicherheit kann auch jeder selbst bestimmen. Aber ich rede mal nur von 15%, ich wollte mich nicht länger damit beschäftigen (ist meine Freizeit Dauer:25-35 min es war schon sehr spät) Ich habe mir einfach mal bei einem Thema den HTML Code angeschaut. Es war ein Sicherheitsthema über Whats App. Über Manche (wohlgemerkt die am meisten gemotzt haben!) musste ich einfach nur schmunzeln.

Man konnte bei manchen Usern Profile betrachten ohne eingeloggt zu sein. Ich habe mir natürlich danach eingeloggt und den Rest betrachtet. Es sind persönliche Daten vorhanden, gerade HP´s. Da wurde am Provider gespart und man könnte gut Daten lesen.
Man hätte auch sagen können: Gehe Sonntag einen Saufen, ich schicke dir 8 Uhr am Montag ein Taxi vorbei (damit du pünktlich auf Arbeit kommst) oder schicke dir ne Email oder lass dein Telefon klingeln. Andere haben fast keine Daten, aber ala Google findet man Einträge zu der Person, die früher einmal gemacht wurden. Ein großer Teil hat es richtig gemacht.

Man sieht daran, egal was man löscht (oder denkt was man gelöscht hat). Das Internet vergisst nie.
Es ist auch nicht die Sache eines Forums, euch Sicherheit zu geben. Die Chance hat jeder nur wird sie von manchen nicht genutzt.
Und ja bei mein Safari ist der Entwicklermodus eingeschaltet.

 

[Spittek]

Du meinst also solche Daten, die man (außer Geburtsdatum) von >90% der Bevölkerung im öffentlichen Telefonbuch nachlesen kann?

Name, Strasse und Ort sind natürlich nicht geheim. In Verbindung mit dem Geburtsdatum kann man sich aber schön bei Online-Händlern anmelden, die noch auf Rechnung verkaufen. Die Angaben reichen aus, damit die Adress- und Bonitätsabfrage positiv verläuft und schon gehts los mit dem fröhlichen shoppen. Die Ware landet dann natürlich an einer abweichenden Lieferadresse, die Rechnung aber bei mir.

Ich finde auch, dass es so langsam Zeit wird, dass der elektronische Perso oder sonst was zum Online-Shoppen eingeführt werden muss. Wenn schon Ebay gehackt wird, dann bestimmt irgendwann auch Amazon und Co. Wo Menschen arbeiten, werden Fehler gemacht, so ist das nun mal...

 

[NobodyisPerfect]

Name, Strasse und Ort sind natürlich nicht geheim. In Verbindung mit dem Geburtsdatum kann man sich aber schön bei Online-Händlern anmelden, die noch auf Rechnung verkaufen. Die Angaben reichen aus, damit die Adress- und Bonitätsabfrage positiv verläuft und schon gehts los mit dem fröhlichen shoppen. Die Ware landet dann natürlich an einer abweichenden Lieferadresse, die Rechnung aber bei mir.

Naja so einfach ist das schon lange nicht mehr. Gehe mal von dir aus, du würdest es machen. Was ist den deine Lieferanschrift deine?
Willst du dir ein Postfach mieten oder vielleicht eine Wohnung? Postboten sind auch sensibler geworden, bei uns geben die dir nicht einfach so ein Packet, nur weil du ihnen entgegen kommst.

Das Verfahren wurde damals mit Kreditkarten gerne Vollzogen. Da gab es Seiten wo man mit gefakten Kreditkarten einkaufen konnte. Nur sind sie alle ein bissl wach geworden. So haben manche zB Software eingekauft. Nur ging es nicht lange gut. Wenn es bekannt wurde/aufgefallen ist, Schwups Software Code gesperrt und nichts gekonnt.

 

[Muffi123]

Naja, auch der elektronische Perso, Fingerabdruck oder sonstwas ist nicht absolut sicher. Im Prinzip noch unsicherer als ein Passwort, aber bequemer. Passwörter hat man überall verschiedene und kann sie jederzeit ändern. Greift jemand die Daten vom Ausweis, Fingerabdruck oder sonstwas ab kann er sich überall als eine andere Person legitimieren. Und Fingerabdruck, Perso usw. ändert man nicht so schnell wie ein Passwort
Es gibt leider keine absolute Sicherheit. Egal was kommt die Kriminellen werden immer einen Schritt voraus sein und man kann nur hinterherrennen und versuchen Schaden zu vermeiden und zu reparieren.
Beim bestellen auf fremden Namen ist übrigens meistens letztendlich der Händler der Dumme.

LG

 

[Guy.brush]

Wer steht denn heut zu Tage noch im Telefonbuch außer Rentner und Mittelständische Firmen ??

Rentner sind doch nicht gerade eine kleine oder schlechte Zielgruppe für Kriminelle... außerdem glaube ich, dass du den Anteil ziemlich falsch einschätzt bzw. dieser generell höher ist, als man glaubt.

Jede Telefonnummer die mich anruft kann ich per Telefonbuch "Rückwärtssuche" nachsuchen und es werden nie Einträge dazu gefunden.

Das ist natürlich dein subjektiver Eindruck, der noch dazu von anderen Sachen wie welche Suche du benutzt oder wer dich so anruft abhängt. Wenn ich jetzt aber das Gegenteil behaupte, wer hat dann recht?

 

[NobodyisPerfect]

Wie ist es denn mit den verschlüsselten Passwörtern, kann man damit überhaupt was anfangen ? Bzw. gibt es für Dritte eine Möglichkeit diese zu entschlüsseln ?

Naja auch der elektronische Perso, Fingerabdruck oder sonstwas ist nicht absolut sicher. Im Prinzip noch unsicherer als ein Passwort, aber bequemer. Passwörter hat man überall verschiedene und kann sie jederzeit ändern. Greift jemand die Daten vom Ausweis, Fingerabdruck oder sonstwas ab kann er sich überall als eine andere Person legimitieren. Und Fingerabdruck, Perso usw. ändert man nicht so schnell wie ein Passwort
Es gibt leider keine absolute Sicherheit.
Beim bestellen auf fremden Namen ist übrigens meistens letztendlich der Händler der Dumme.

LG

Klar kann man unter fremden Namen bestellen in dem Fall geht es nicht zu Lasten des Händlers.
Mein Kind (11) darf auch kein Packet von mir annehmen. Wenn ich nicht da bin, muss ich es auch persönlich bei der Post holen.
Aber jede Post ist da ein wenig anders.

 

[Farafan]

Dann beschäftige dich bitte zunächst mit dem Prinzip der qualifizierten digitalen Signatur bevor du solche vermeintlichen Informationen postest, @Muffi123 .

Erstens kommt hier zusätzlich eine PIN dazu und diese ist auch änderbar.Aus guten Grunde kann dies aber nur dein zuständiges Einwohnermeldeamt/Bürgerbüro. Bei jedem Manipulationsversuch wird die digitale Signatur auf dem Perso unwideruflich gelöscht. Zur Zeit gibt es nichts besseres und nicht ohne Grund hat hier auch das BSI den Daumen nach oben gehalten.

 

[Spittek]

Dann bin ich ja beruhigt Heute bin ich eh vorsichtiger als früher. Ich mag aber gar nicht daran denken, wo man überall seine sensiblen Daten hinterlassen hat, als der ganze Datenklau noch nicht so ein Thema war. Und dann noch die PWs, überall das selbe... Aber das ist dank 1Password und Schlüsselbund ja auch Geschichte (Zumindest solange, bis die dann auch gehackt werden).

 

[Muffi123]

Lieber Herr Farafan,

es gibt keine absolute Sicherheit. Auch der elektronische Perso ist von absolut sicher weit entfernt. Und der Perso stand ausser beim BMI bzw. BSI (wär ja auch dumm die eigenen Produkte zu kritisieren. Arbeiten sie da?) mehr als einmal in der Kritik.
Das BSI ist übrigens auch nicht besser als ebay. Veröffentlicht bekannte Sicherheitsprobleme auch erst einen Monat später....Jaja Ich weiß aus ermittlungstaktischen Gründen....
Ich bin in der Tat kein Fachmann für Datensicherheit, aber im Zweifel vertraue ich lieber darauf was mir unabhängige Fachleute erklären als dass ich dem BMI / BSI, einer Bundesbehörde im Neuland, vertraue.