News Comdirect: Fremdzugriff beim Online-Banking war möglich

G!N schrieb:
Für mich sieht das so aus als wenn überhaupt kein Test auf dem Produktivsystem gelaufen ist und die Software einfach so live gegangen ist... peinlich

Ob Produktiv-, Test- oder Entwicklersystem. Es werden niemals alle Funktionen mit allen möglichen Parametern getestet werden. Deshalb können solche seltenen Fehler auch durch die Tests durchgehen und dann produktiv werden.
Ob die Testfälle zu schlecht spezifiziert waren, kann hier keiner beurteilen. Kann sein, muss aber nicht. Software ist nie perfekt und je komplexer das System, desto weniger perfekt. Manche haben hier ein etwas naives Verständnis von der Komplexität solcher Softwareprojekte.
Ergänzung ()

tree-snake schrieb:
Sowas kostet viel Geld. Also nein ^^

Nicht testen kostet viel mehr Geld.
 
http://www.heise.de/newsticker/meld...beim-Onlinebanking-von-Comdirect-3269325.html
In einem fremden Konto seien keine Überweisungen nach außen möglich gewesen, aber interne – beispielsweise von einem Tagesgeld- auf ein Girokonto. Dafür werde keine TAN benötigt.
Ich dachte zuerst, da lief irgendetwas mit dem Caching schief, wie es im Dezember bei Steam der Fall war. Aber hier scheinen ja tatsächlich gültige Sessions zustandegekommen zu sein. Ziemlich krass.
 
Mustis schrieb:
Und du bist Insider und Profi und weißt, was da wie getan wurde?
Bin Kunde der Comdirect. Seit Jahrzehnten. Bisher immer sehr schnell gehandelt und reagiert wenn mögliche Probleme bestanden (Kreditkarten etc.) Schaden hatte ich bisher nie einen. Es ist natürlich sehr ärgerlich, was hier passiert ist, aber dieses sinnfreie und einzig von Unwissen zeugende Gebrabbel was hier schon wieder zu Tage tritt, einfach nur noch lästig und vor allem sind es gern immer die selben Kandidaten. Meistens 0 Wissen, davon aber äußerst reichlich. Das jetzt irgendwer grade bei jemandem gelandet ist, den er zuordnen kann und es auch noch von Interesse ist, dürfte gegen 0 tendieren. Ein gezieltes einloggen, wie hier stellenweise suggeriert wurde, war nicht möglich...

Wer glaubt, dass in solchen Produktivsystem nie was schief geht, egal wie sehr man testet, hatte ganz offensichtlich noch nie mit der Thematik zu tun.
Ich denke 7 Jahre in der IT der größten Automobilbank Europas, davon ca. 4,5 Jahre im Bereich der Qualitätssicherung der Software, ließen mich eine gewisse Kenntnis und Erfahrung in dem Bereich sammeln.😐

Natürlich kann man nie Fehler (im produktiven Bereich) ausschließen, aber solch ein eklatanter Fehler sollte auffallen, frühestens beim Code Review, spätestens auf den Testservern.

Vielleicht solltest du schlichtweg mal über deinen Ton nachdenken.

Fast schon niedlich wie du den Datenschutz und das Bankgeheimnis der Betroffenen verharmlosen willst.
 
Zuletzt bearbeitet:
Conceptions schrieb:
Natürlich kann man nie Fehler (im produktiven Bereich) ausschließen, aber solch ein eklatanter Fehler sollte auffallen, frühestens beim Code Review, spätestens auf den Testservern.

Die Größe des Fehlers ist die Ausprägung und die hat rein gar nichts mit dem Code zu tun. Im Code unterscheiden sich eklatante Fehler nicht von nicht eklatanten Fehlern, weshalb sie auch im Code Review nicht mehr auffallen, als weniger eklatante. Und bei einen Fehler, der nur bei sagen wir einem von 10.000 Logins oder vielleicht nur unter ganz spezifischen Lastszenarios auftritt, wirst du vielleicht auch auf einem Testsystem nicht fündig werden, auch nicht mit Produktivdaten.

Halten wir fest, produktive Software ist nie fehlerfrei und es gibt keinen Test, der alle Fälle abdeckt. Deshalb würden sich Leute, die schonmal in solchen komplexen Projekten in der Softwareentwicklung tätig waren, hier auch etwas zurückhalten mit einer Fehlerbewertung von außen.
 
Betroffene Leser hatten sich bei Heise gemeldet und die Probleme beschrieben.

Ich würde mich da eher an die Bank wenden. Aber wen wundert es? Die Leute fragen ja immer zuerst in Foren nach, warum die Ware oder Pizza noch nicht geliefert wurde. :p
 
karamba schrieb:
Die Größe des Fehlers ist die Ausprägung und die hat rein gar nichts mit dem Code zu tun. Im Code unterscheiden sich eklatante Fehler nicht von nicht eklatanten Fehlern, weshalb sie auch im Code Review nicht mehr auffallen, als weniger eklatante.
Natürlich fallen eklatante Fehler auf. Das müssen sie. Wenn dies nicht der Fall ist muss man sich fragen welche Leute da sitzen.

Wir reden hier von einem Fehler der den Datenschutz und das Bankgeheimnis betrifft. Sich mit Zugangsdaten Einblicke in Bankkonten Dritter zu verschaffen nenne ich bei einer Onlinebank Supergau, insbesondere wenn man dort intern des Kontos Gelder verschieben konnte (Giro auf Spar ohne TAN, schon da hakt es ja wohl am Konzept. Für jede Transaktion, auch innerhalb sollte es eine TAN benötigen)

Und bei einen Fehler, der nur bei sagen wir einem von 10.000 Logins oder vielleicht nur unter ganz spezifischen Lastszenarios auftritt, wirst du vielleicht auch auf einem Testsystem nicht fündig werden, auch nicht mit Produktivdaten.
Das bedeutet dass das Testsetup mangelhaft und nicht intensiv genug ist.
Wir reden hier nicht von einem MP3 Player, sondern von einer Banking Software.
Hier zeigt sich ganz einfach das Kosten gespart werden sollten.
Passt ja sowieso ganz wunderbar zu der Arbeitsweise der Banken momentan.

Halten wir fest, produktive Software ist nie fehlerfrei und es gibt keinen Test, der alle Fälle abdeckt. Deshalb würden sich Leute, die schonmal in solchen komplexen Projekten in der Softwareentwicklung tätig waren, hier auch etwas zurückhalten mit einer Fehlerbewertung von außen.
Von fehlerfrei war nie die Rede. Natürlich kann keine Software zu 100% sicher sein.
Aber solche Fehler müssen in der Testphase auffallen.
Wie gesagt war ich bei der größten Autobank Europas und habe entsprechende Einblicke gehabt.
Es hatte schon seine Gründe weshalb die Qualitätssicherung entsprechend besetzt und entlohnt war, und diese den Einsatz von Software auf den Produktivsystemen noch lange verzögern konnte und sollte, wenn diese nicht der Qualität entsprach.
Auch wenn dies manchmal bedeutete sich mit bestimmten "hohen Tieren" anzulegen.
Meistens reichte es aus entsprechend den möglichen finanziellen Verlust pro Stunde auf den Tisch zu legen.
 
Dich sollte man sofort einstellen. Keine Ahnung davon, welches System dort wie im Einsatz ist, wo der Fehler wie war oder was genau passiert ist, aber trotzdem weißt du, was alles hätte nicht sein dürfen und was besser gemacht hätte werden müssen.

Der absolute Vollprofi eben...

Aber hey, du hast ja bei der Volkswagenbank gearbeitet. Absolut vergleichbar mit der comdirect. Gleiches Geschäftsfeld und so und von der Software für das Onlinebanking sicher auch quasi identisch... :rolleyes:

PS. Warum nennst du sie eigentlich nicht beim Namen? Wird es dann für eine halbgare Geschichte zu konkret?
 
Zuletzt bearbeitet von einem Moderator:
Mustis schrieb:
Dich sollte man sofort einstellen. Keine Ahnung davon, welches System dort wie im Einsatz ist, wo der Fehler wie war oder was genau passiert ist, aber trotzdem weißt du, was alles hätte nicht sein dürfen und was besser gemacht hätte werden müssen.

Der absolute Vollprofi eben...

Aber hey, du hast ja bei der Volkswagenbank gearbeitet. Absolut vergleichbar mit der comdirect. Gleiches Geschäftsfeld und so und von der Software für das Onlinebanking sicher auch quasi identisch... :rolleyes:

PS. Warum nennst du sie eigentlich nicht beim Namen? Wird es dann für eine halbgare Geschichte zu konkret?
dir ist wohl imnmer noch nicht klar, daß alles was du den Leuten hier vorwirfst nur auf dich zutrifft...
 
Wenn du meinst. Ich stelle mich als außenstehender jedenfalls nicht hin und erkläre wie etwas zu sein hat was ich nicht kenne. Und glaube mir, das liveportal einer direktbank für privatkunden ist was durchaus anderes als das einer automobilbank, die vornehmlich finanziert...
 
Mustis schrieb:
Dich sollte man sofort einstellen. Keine Ahnung davon, welches System dort wie im Einsatz ist, wo der Fehler wie war oder was genau passiert ist, aber trotzdem weißt du, was alles hätte nicht sein dürfen und was besser gemacht hätte werden müssen.
Ja, mit etwas Logik würde man darauf kommen, zumal ich es schon mehrfach schrieb: Bruch des Datenschutzes + Bankgeheimnises hätte nicht passieren dürfen. Dafür brauch ich auch nicht das Softwaresystem zu kennen.
Wenn es passiert wurde entweder geschlampt oder das Konzept war von Anfang an ungeeignet.

Der absolute Vollprofi eben...
Dafür braucht man kein Vollprofi sein, sondern lediglich das Problem erkennen. Das hast du bisher erfolgreich verhindert.
Aber hey, du hast ja bei der Volkswagenbank gearbeitet. Absolut vergleichbar mit der comdirect. Gleiches Geschäftsfeld und so und von der Software für das Onlinebanking sicher auch quasi identisch... :rolleyes:
Es muss weder das gleiche Geschäftsfeld sein, noch die Software muss identisch sein.
Das Problem ist das man sich mit einem Account potentiell Zugang zu Daten Dritter verschaffen konnte. Wir reden hier von Kontodaten inkl. Vermögenswerten, Zahlungsbewegungen und nicht selten sind Anschrift & Telefondaten auch noch abrufbar.
PS. Warum nennst du sie eigentlich nicht beim Namen? Wird es dann für eine halbgare Geschichte zu konkret?
Die VW Financial Service? Hast es doch auch in 5 Sekunden inkl tippen per Google herausgefunden. Immerhin. 😐

Mustis schrieb:
Wenn du meinst. Ich stelle mich als außenstehender jedenfalls nicht hin und erkläre wie etwas zu sein hat was ich nicht kenne.
Dafür stellst du dich mit 0,nix Wissen hin und versuchst andere, die in dem Bereich schon tätig waren, auf deine Stufe zu stellen.😐
Und glaube mir, das liveportal einer direktbank für privatkunden ist was durchaus anderes als das einer automobilbank, die vornehmlich finanziert...
Richtig, vornehmlich. Aber auch die VW Financial Service hat Girokonten inkl Kreditkarten und einem, wenn auch im Vergleich zu Hausbanken, winzigen Filialnetz und an VW Standorten Geldautomaten.

Aber auch an diesem Beitrag hast du wieder damit geglänzt das Problem nicht erkannt zu haben.
Unbefugte konnten sich Zugang zu Daten Dritter verschaffen, sogar intern Gelder verschieben.Dabei ist es egal ob es um ein Girokonto, Sparkonto oder um eine Finanzierung geht.

Ist dir eigentlich schon in den Sinn gekommen das es nicht traurig ist das scheinbar eine Bank, welche ihr Hauptgeschäftsfeld im Onlinebanking inne hat, so dermaßen schlampt? Stattdessen versuchst du das ganze zu verharmlosen. Gratulation, angestellt bei der comdirekt? 😐 Aber man kennt ja deine Überheblichkeit schon aus anderen Beiträgen.
 
Mhh und ich war/bin in dem Bereich nicht tätig. Gut das du das weißt. :rolleyes:

Man konnte sich eben nicht gezielt Zugang verschaffen. Das ist schlicht nicht war. Und ich bin lediglich Kunde von Comdirekt, bin ggf. also sogar betroffen und trotzdem mach ich nicht son Fass auf. Weil hierbei nicht mal ein Schaden entstanden ist nach derzeitiger Faktenlage.

Dieses sich echauffieren über Dinge, deren Hintergründe man nicht kennt, wo kein Schaden entstanden ist, wovon man nicht betroffen ist, ist schlicht affig. Wenn sich nur 1% der Menschen mal zu erst um IHRE Sachen kümmern würden, bevor sie Zeit für sowas aufwenden, die Welt wäre ein angenehmerer Ort und das Internet wäre deutlich weniger mit sinnbefreiter Empörung vermüllt...

PS: Wo hast du eigentlich den Kenntnisstand her, was alles einsehbar gewesen sein soll? Bei Heise wird lediglich Kontoübersicht, Buchungen und Postfach angesprochen. Mal wieder fleißig vermutet statt sich auf Fakten zu beziehen weil das besser wirkt?
 
Zuletzt bearbeitet von einem Moderator:
Mustis schrieb:
Mhh und ich war/bin in dem Bereich nicht tätig. Gut das du das weißt. :rolleyes:
Wärst du dies, so wäre dir die Brisanz bewusst. Wir reden hier schließlich von Finanzdaten und nicht vom Amazon Wunschzettel.

Man konnte sich eben nicht gezielt Zugang verschaffen. Das ist schlicht nicht war.
Von gezielt war wo die Rede? Man konnte durch die eigenen Zugangsdaten einen, wenn auch beschränkten und zufälligen, Zugriff auf Kontoinformationen Dritter erlangen. Der Einzige der hier immer mit "gezielt" daher kommt bist du.
Und ich bin lediglich Kunde von Comdirekt, bin ggf. also sogar betroffen und trotzdem mach ich nicht son Fass auf. Weil hierbei nicht mal ein Schaden entstanden ist nach derzeitiger Faktenlage.
Na dann stell dich doch nicht so an. Poste hier bitte deine Konto Zugangsdaten. Ohne TAN Generator / mTAN Verfahren kann dir ja nichts passieren. Entsteht ja kein Schaden.
Wer sagt denn überhaupt das kein Schaden entstanden ist? Wenn jemand von meinem Girokonto alles aufs Sparkonto schieben konnte? Kein Schaden auszuschließen? Evtl. Rückbuchungen mit entsprechenden Gebühren kein Schaden?
Oder wenn ein Krimineller durch Zufall erfährt das Oma Erna zig hunderttausende auf Sparkonten verteilt liegen hat?
Und sei es nur das man jetzt von einem potentiellen Opfer der Enkeltrick Masche ausgehen kann?

Wenn sich nur 1% der Menschen mal zu erst um IHRE Sachen kümmern würden, bevor sie Zeit für sowas aufwenden, die Welt wäre ein angenehmerer Ort und das Internet weniger voll von sinnbefreiter Empörung...
Dann "diskutiere" hier doch einfach nicht mit. Ich verweise mal auf den Beitrag von Hito und deine eigenen Worte. Kümmer dich um deinen eigenen Sch.... 😐

Edit zum PS: "lediglich".... Soll man jetzt lachen oder weinen?
 
Zuletzt bearbeitet:
Hätte, hätte, Fahrradkette..

Welcher Brisanz das haben KÖNNTE ist mir mehr als bewusst. Vor allem weil ich betroffen bin. Ich habe auch comdirekt nicht davor in Schutz genommen, dass sowas einfach vom Tisch geschoben werden sollte (was sie aber ohnehin nicht getan haben).

Was ich kritisiert habe ist, dass sich ich Möchtegerns wie du hinstellen und einem vom Pferd erzählen (bevor tatsächlich Fakten so richtig bekannt sind), was hätte alles sein müssen, können etc. und das man selbst es ja a) besser weiß und b) besser gemacht hätte. Das ist es, was gelinde gesagt, hochgradig affig ist. Und eben sich darüber so zu echauffieren, obwohl es einen nicht mal betrifft. Es ist halt wie immer so viel schöner, die Fehler anderer groß rauszubringen, statt sich um die eigenen zu kümmern ne?

Zum Thema lediglich: Weißt du überhaupt wie das Portal von comdirekt aussieht? Ganz offensichtlich nicht, wenn nämlich "nur" diese Bereiche einsehbar waren, sind deine ganzen Vermutungen und Anschuldigungen umso mehr für die Katz.
 
Zurück
Oben