Magazin Unerlaubter Zugriff: eBay-Kunden sollen Passwort ändern

[echo.park]

Du meinst also solche Daten, die man (außer Geburtsdatum) von >90% der Bevölkerung im öffentlichen Telefonbuch nachlesen kann?

Es gibt sogenannte Dropper (wenn ich mich nicht irre werden die so genannt). Das sind nichtsahnende Personen, die auf Inserate in Zeitungen und Jobbörsen reingefallen sind.

"Man ist geschäftlich im Ausland tätig und benötigt in Deutschland jemanden, der Pakete annimmt und weiterleitet. Für 1000 € monatlich."

Diese Dropper nehmen also Pakete an, an ihrer privaten Adresse und leiten sie dann weiter. Meist ins osteuropäische Ausland. Dort werden die Sachen dann verhökert. Geld bekommen diese gutgläubigen Menschen nicht dafür, nur Ärger mit dem Gesetz, denn sie verschleiern quasi die Hintermänner, die so nicht belangt werden können.

Ich bestelle also mit deinen Daten und nutze als Lieferadresse die eines solchen Droppers. Der Hänlder stellte die Rechnung an dich, du hast ein Problem. Der Dropper nimmt das Paket an und hat ebenfalls ein Problem.

Da gab es mal eine interessante Dokumentation auf ARD zu diesem Thema. Erschreckend.

Habe ich deine persönlichen Daten und bin geschickt am Telefon kann ich auch per Social-Engineering und mit Hilfe deines Geburtsdatums eine zweite SIM-Karte bestellen, ebenfalls an eine solche unter meiner Kontrolle stehende Adresse. Bin ich dann noch in der Lage dir per Mail (Adresse habe ich ja ebenfalls) einen Trojaner unterzuschieben, räume ich dein mit dem mTAN-Verfahren geschütztes Bankkonto leer.

Mal zwei Beispiele auf die Schnelle, was man alles treiben kann mit Daten, die "im Telefonbuch stehen", plus Geburtsdatum.



Gestohlene Kreditkartendaten? Pff. Ein Anruf und gut ist es. Gestohlene persönliche Daten? Alarmstufe rot.

Deswegen könnte ich regelmäßig platzen, wenn es wie jetzt bei eBay heißt, "machen Sie sich keine Sorgen, ihre Kreditkarten Daten sind nicht betroffen", dafür aber der ganze Rest.

// Edit:
Hierzu passt auch, dass immer nur die Rede von Kreditkarten ist. Nie von Bankdaten eines Giro-Kontos. Die sind auch nicht mal eben schnell geändert, wenn das überhaupt möglich ist. Wird hier abgebucht und man selbst bucht die Lastschrift zurück, bekommt man ebenfalls Ärger mit dem jeweiligen Händler. Bis hin zum Inkasso-Büro.

// Edit:
Leerstehende Gebäude oder Wohnungen, die aber noch einen Briefkasten haben, vor allem im Osten Deutschlands, sind auch beliebte Fake-Adressen, die zur Lieferung genutzt werden. Auf den Postboten würde ich mich da nicht verlassen. Oder auf einen unterbezahlten Schlucker bei Hermes, der für jedes "ausgelieferte" Paket 50 Cent kassiert und der seinen Wagen abends "leer" haben muss.

 

[Spittek]

Da muss ich echo.park leider recht geben. Die Doku habe ich auch gesehen. Man muss im schlimmsten Fall davon ausgehen, dass es sich bei einem Hack in dieser Größenordnung nicht um einen Kleinkriminellen handelt. Und die Kreditkartendaten in den falschen Händen finde ich noch am harmlosesten. Beispiel: Bei Freunden von mir waren vor ca. 6 Monaten DB-Tickets im Wert von knapp 1000,- auf der Karte belastet. Ein Gang zur Bank und am selben Tag war der Saldo wieder ausgeglichen. Es handelte sich hier nicht um ein Versehen seitens der Deutschen Bahn, sondern um missbräuchliche Nutzung der Kartennummer.

Meine Adresse und Bankverbindung kann ich nicht so einfach ändern. Zudem weiß ich auch gar nicht, wann diese missbraucht werden. In einer Woche , in einem Monat oder in einem Jahr? Also kann man täglich übelst überrascht werden, sei es beim Blick in den Briefkasten oder auf den Kontoauszug.

Um nochmal auf die Adressdaten in Verbindung mit dem Geburtsdatum zu kommen: Ich habe vorhin paar Klamotten bestellt. Es handelt sich um den eigenen Shop eines angesagten Labels im höherpreisigen Seqment. Ich bin dort Neukunde und habe meine Adresse, mein Geburtsdatum und meine Mailadresse angegeben. Als abweichende Lieferadresse habe ich eine komplett andere Adresse angegeben, weil ich für ein paar Wochen nicht zu Hause bin. Kauf auf Rechnung angeklickt (nix Billpay oder Klarna) und abgeschickt. Noch nicht einmal ein Kundenkonto habe ich angelegt (keinen Bock drauf). Und, was soll ich sagen, vor 5 Minuten kam die Versandbestätigung und die Rechnung per Email.

Ich wäre gespannt, wer Post vom Inkassobüro bekäme, wenn die Rechnung nicht bezahlt würde? Ohne meine Adresse und Geburtsdatum zu kennen, wäre dies gar nicht möglich gewesen. Und im Telefonbuch stehe ich schon seit 20 Jahren nicht mehr. Mir ist klar, dass ein Händler merken würde, wenn auf einmal etliche Bestellungen verschiedener Kunden an ein und die selbe Adresse geschickt werden sollen. Aber so nach und nach, ohne zu übertreiben, kann ich mir schon vorstellen, dass das klappt.

Nach den zahlreichen, doch sehr plausiblen Antworten einiger User, bin ich auch der Meinung, dass die persönlichen Daten einen viel größeren Wert haben, als blöde Kreditkartennummern. Deshalb verstehe ich Ebay auch nicht, dass die so tun, als wäre nix passiert. Aber wehe, ein Käufer beantragt (unberechtigten) Käuferschutz... Dann frieren der Sauverein und Paypal einem sofort die Kohle ein.

 

[NobodyisPerfect]

Tja dazu müsste ein Händler sagen, welche Informationen gespeichert werden. Oder du fragst mal selbst den Händler wo du bestellt hast. Kannst ja ruhig sagen, das dies gerade ein grosses Thema ist.

Ich kann nur von meinen Erfahrungen reden, das sich Händler auch absichern.

ZB Steam:

Deutscher Account kann nur mit Deutschen Konto bezahlt werden, das betrifft auch Paypal und Paysafecard
Italienischer Account ist das gleiche, deutsche... Kontos, Paysafecard Paypal unbrauchbar
Einkaufen über VPN mit deutschen... nicht mehr möglich
Selbst eine deutsche Kreditkarte bei Steam (im Ausland) unbrauchbar, da die ersten Zahlen deinen Bankstandort verraten
(getestet mit Visa)

Online Handel:

Ich habe schon bei jemand 2 Bestellungen getätigt. Einmal von meinem Kumpel aus (250km entfernt) und einmal versehentlich mit aktiver VPN. Beide Bestellungen wurden per Paypal bezahlt. Es gab bei jeder Bestellung kurz danach eine Email. Lieferadresse und Bestell-IP stimmen nicht überein. Bitte korrigieren, solange ist die Bestellung auf Eis gelegt (natürlich war die Paypalbezahlung schon vollzogen).

An dem Beispiel sieht man, das es auch anders geht. Wäre ja gespannt wenn du wirklich nachfragst, evtl. haben die das auch überprüft.

MfG

 

[Farafan]

Nächste verwunderliche Fortsetzung meiner Geschichte: nach über 30 Stunden ist Ebay nicht in der Lage mir eine Bestätigung meiner Kündigung zukommen zu lassen. Im Missbrauchsfall bekommt der Kunde also nicht einmal Nachricht darüber wenn jemand in seinen Accountdaten herum pfuscht.

Aber Hauptsache man wird bei der Kündigung zwölfmal gefragt ob man wirklich kündigen will.Ebay wäre ja sooooooo toll und soooooooo sicher.

 

[echo.park]

@Farafan
Als ich mein Konto kündigte bekam ich auch keine Mail. Nie. Ich habe dann angerufen und mir die Kündigung bestätigen lassen, das war aber auch ein Akt.

Ich lehne mich aus dem Fenster und sage: Du wirst auch niemals eine Mail bekommen.

Und zum Löschen der Daten bei eBay noch Folgendes:

Nach den Bestimmungen des BDSG (Bundesdatenschutzgesetz) und desTDDSG (Teledienstedatenschutzgesetz) verbleibt nach der Aufforderungzur Löschung der Daten eine begrenzte Frist, innerhalb derer IhreDaten noch aufbewahrt werden. Die Aufbewahrung dieser Informationenerfolgt in limitierter Form zur Erfüllung gesetzlicherAufbewahrungspflichten.

So wirklich "limitiert" ist das aber nicht.

 

[Farafan]

Danke für die Info, @echo.park

Primär geht es mir weniger um die Löschung der Daten. Sollten die geklaut worden sein ist es dafür sowieso zu spät.
Ich zeige Unternehmen die in solch sträflicher Form leichtsinnig handeln nur grundsätzlich die kalte Schulter.

Nur was wäre wenn ein Hacker die Stammdaten meines Accounts verändert hätte? Es ist für mich eine Unverschämtheit das hier nicht umgehend eine Mail-Benachrichtigung erfolgt "Sie haben die Löschung ihres Accounts vorgenommen. Sollten sie dies nicht getan haben setzen sie sich sofort blablabla......"

Ich bin schlichtweg leicht verwundert.

 

[doc_holleday]

Immerhin bekommt man ja genau so eine automatisierte Nachricht, wenn man sein Passwort ändert.

Schon seltsam, dass das bei einer Deaktivierung nicht kommt.

Da könnte ja dann der Link zur Reaktivierung drin sein. Nur falls man sich nach den 12 Abfragen doch nicht so ganz richtig sicher war...

 

[echo.park]

@Farafan
Das verstehe ich jetzt nicht ganz. Du musst dich doch eingeloggt haben um die Kündigung durchzuführen. Da musst du doch gesehen oder bemerkt haben, wenn jemand irgendwelche Daten verändert hat. Oder hast du schlicht nicht darauf geachtet?

Also man bekommt eine Mail, die einem den Vorgang der Kündigung bestätigt. Betreff irgendwas mit "Ihre Kündigung wird vorbereitet." Nur eben eine abschließende Bestätigung der Kündigung, die üblicherweise eine Woche später vollzogen wird, erfolgt nicht, trotz Ankündigung einer solchen zweiten Mail.

 

[Farafan]

Nein, ganz ruhig @echo.park

Verändert wurde nichts. Ich fragte nur hypothetisch wenn jemand Accountdaten geändert hätte oder den Account löschen würde. Ich habe keinerlei Email erhalten und nein: auch nicht im Spamordner.

Ich glaube aber noch an das Gute selbst in Ebay und vielleicht kommt so etwas ja sogar per Post oder die Account-Kündigungs-Bearbeitungs-Server sind seit gestern schlichtweg überlastet.

 

[echo.park]

@Farafan
Nein, per Post sicher nicht.

Vermutlich sind das wieder die üblichen Serverprobleme.

Google handhabt solche Mail-Geschichten noch am besten. Beispielsweise wenn man dort das Passwort ändert. Es erfolgt eine Mail an die hinterlegte Adresse mit einem Button, über den man das Passwort direkt wieder ändern kann, sollte es von einem Fremden geändert worden sein. Bei Amazon beispielsweise erfolgt nur ein schlichter Hinweis per Mail.

Auch gibt es Dienste, die bei Änderung der Mail-Adresse auch eine Mail an die alte Adresse schicken, andere wiederum machen das nicht, hier erfolgt der Hinweis nur an die neue Adresse.

Abgesehen davon hat mich die Zwei-Faktor-Verifikation mit Wiederherstellungsschlüssel ausgedruckt in Papierform für Apple IDs sehr überzeugt, mehr als die Zwei-Faktor-Verifikation anderer Dienste.

Würde man die besten Methoden verschiedener Dienste einfach kombinieren, hätte man nahezu vollständige Account-Sicherheit.

Sollte ich mal meinen eigenen Online-Dienst starten, so wird das so gehandhabt werden. Das beste "zusammenklauen" und nachmachen.

 

[Farafan]

Ein Hinweis an die neue (potentiell vom Hacker angegebene Adresse) ist bei einer Manipulation nicht wirklich zielführend.

Nun ja, vielleicht beginnt man langsam einmal darüber nachzudenken. Die Form des Logins für Anwendungen mit der böse Buben Geld oder Waren abstauben können ist mit Username/Passwort eine Lösung die nicht mehr in die Zeit passt.

 

[echo.park]

So ist es.

// Edit:
Es sind 145 Mio. potentiell Betroffene.

http://www.heise.de/newsticker/meldung/145-Millionen-Kunden-von-eBay-Hack-betroffen-2195974.html

 

[raven]

Dabei konnten die Täter laut Unternehmen folgende Daten entwenden: Name, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum und das verschlüsselte Passwort. Kreditkartendaten und andere für den Zahlungsverkehr relevanten Daten sind laut eBay in einer anderen Datenbank gespeichert und nicht betroffen.

Quellenangabe heise.de

Und nach der meldung soll man das noch glauben.
Kreditkartendaten und andere für den Zahlungsverkehr relevanten Daten sind laut eBay in einer anderen Datenbank gespeichert und nicht betroffen.

Hoffnung ist die Nichtakzeptanz von unasuweichlichen Ereignissen und Katastrophen. Meiner meinung nach geben die nur das zu was man ihenen schon belegen kann. ist die sog. Salamitktik. Scheibchen für Scheibchen.....

 

[echo.park]

@raven
Es ist durchaus möglich, dass Zahlungsinformationen "separat" gelagert werden. Sogar "One-Way-Server" bei denen der Datenstrom nur in eine Richtung fließt, sind möglich. Damit ist es extrem schwer da ran zu kommen. Zudem müssen Online-Dienste, die Kreditkartendaten verarbeiten, diverse Sicherheitsrichtlinien der jeweiligen Banken (Visa, Mastercard) erfüllen. Das richtet sich danach, wie viele solcher Daten dort anfallen.

 

[Farafan]

Also wenn ich die Informationen von n-tv und SPIEGEL online lese steht dort das der/die Angreifer "Vollzugriff auf das Ebay-Intranet" hatten. Zudem scheinen Zugangsdaten von mehreren Mitarbeitern in fremde Hände gelangt zu sein.

Warum, wieso und wer so miserabel ein Netzwerk administriert wird sich wohl in der Zukunft noch zeigen. Wenn ich allerdings Zugriffsrechte für sicherheitsempfindliche Systeme vergebe stelle ich mir folgende Fragen:

- Wer braucht Zugriff?
- Auf was muss zugegriffen werden?
- Ist der Zugriff einmalig oder regelmäßig notwendig?
- Wann darf zugegriffen werden?
- Welche Voraussetzungen sind notwendig damit zugegriffen werden darf?
- Welche Rechte sind erforderlich? (Lese/Schreibrecht)
- Von welchem Netz/IP/Rechner darf zugegriffen werden?
- Wie lange ist der Zugriff erlaubt bis eine erneute Authentifizierung erforderlich ist?

Scheinbar darf man bei Ebay aber im Netz schalten und walten wie man möchte wenn man erst einmal drin ist.

 

[raven]

@echo.park Ich stelle es nicht in Abrede, dass es möglich wäre. Ob es Tatsache ist, das ist dann eine andere Frage. Ein Webseite oder ein Onlineprotal mit so vielen Kundendaten und eine mehr als lausigen Kommunikation an die Betroffenen ist m.M nach absolut daneben. Und sich immer nur daraif berufen, wir können zu laufenden Ermittlungen keine Angaben machen ist schlich und einfach die Kunden ver****. So sehe ich das. Selber bin ich nicht betroffen, da ich keinen Account bei Ebay habe und auch noch nie was einkaufte.

Hätte ich aber einen Account würde mir die Galle in Sekundentakt steigen. Wenn so etwas geschieht, da es nie eine 100 % Sicherheit gibt und auch wahrscheinlich nie geben wir, hat man das bitte auch zeitig und offen zu kommunizieren. Und nicht erst wenn es auf jeder Website in den Schlagzeilen nachzulesen ist.

 

[echo.park]

@raven Da gebe ich dir absolut recht!

@Farafan
Du hast schon recht, aber ohne Genaueres zu wissen kannst auch du nur spekulieren, wie es bei eBay im Backend so aussieht. Ohne eBay in Schutz nehmen zu wollen.