News Datenklau bei Brillen-Versandhändler Mister Spex

Fr4g3r schrieb:
Vermutlich gehört das Speichern von Klartextkennwörtern zu diesen umfassenden Sicherheitsvorkehrungen. :rolleyes:
Man könnte es nicht besser auf den Punkt bringen! Danke für diesen Lacher :D
IT-Experten......
 
Das kommt davon dass die Gesetze Hinz & Kunz überhaupt erlauben Kundendaten BELIEBIG zu verwalten.
Dafür sollte es vorgesehene high security Firmen geben, die sich explizit um Datenschutz kümmern.

So ähnlich wie PayPal. Man legt sich einen Account an und gibt nur die e-mail beim Kauf an.
Der Händler selbst sieht weder was von Kreditkarten Daten noch sonst was - bei Problemen können sie die Daten dann anfordern. Kundenkontos adee - eh nervig genug dass man sich überall registrieren muss.

Im Internet haben sie die Gesetze umgedreht auf "schuldig bis die Unschuld bewiesen wurde".
 
Zuletzt bearbeitet:
Rob83 schrieb:
Das kommt davon dass die Gesetze Hinz & Kunz überhaupt erlauben Kundendaten BELIEBIG zu verwalten.
Dafür sollte es vorgesehene high security Firmen geben, die sich explizit um Datenschutz kümmern.
OK... und wer soll es z.B. bezahlen, wenn die Login-Daten dieses Forums hier von einer monströs teuren Security-Firma bewacht werden? Ach ich vergaß, du zahlst ja jeden Monat 100€ Mitglieds-Beitrag an Computerbase.

Das ist doch alles Schwachsinn. Du kannst so etwas nicht regulieren. Jede fitzelige WoW-Gilde baut sich ein Forum auf, in dem systembedingt Mailadressen, Passwörter und üblicherweise auch Personendaten gelagert werden. Der Unterschied ist nur: Foren-Software wie phpBB oder vBulletin speichert Passwörter gehashed.
 
Dann haben die Hacker nun wohl den absoluten Durchblick :D.
 
ICh finde es sollte zumindest für Kommerzielle genutzte Websiten eine Richtlinie geben wie bestimmte Datensätze zu sichern sind. Muss ja nicht nach extern gegeben werden. Reichen ja bestimmte Richtlinien.
Sonst wird alles in Deutschland irgendwie geregelt, Richtlinien aufgestellt etc. Aber da wos mal richtig weh tun kann weil der Otto-Normal-Verbraucher keine Ahnung von richtigen passwörter hat. Da werden die Hände in den Schoss gelegt.

Was sich hier als wiederholt (Passwort datenbanken nicht zu hashen) ist eigentlich grob fahrlässig. Passwörter in Klarschrift abzuspeichern, Ohne Worte.
 
ford-v8 schrieb:
Öähhm.....WER kauft Brillen online ?
Ich brauche dazu mindestens einen realen Optiker und im schlechtesten Fall auch noch den Augenarzt vor Ort....
Billige Lesehilfen gibts im Discounter um die Ecke.
Hauptsache Billig und Geiz ist Geil.......Selber schuld....


Brillen nicht, aber Kontaktlinsen. Es ist schon ein Unterschied, ob ich 95€ im Laden oder (gleich Marke) 40€ bei MisterSpex zahle. Das hat nichts mit Geiz-ist-geil zu tun. Nicht jeder hat 55€, die er zum Fenster raus werfen kann.

Brillen würde ich aber im Laden kaufen. Allein schon wegen anprobieren und verschiedener Gläser. Wenn man aber weis, was man für Gläser und welchen Schliff man braucht, warum nicht?

Da Zahlungsdaten nicht gespeichert werden, habe ich mein PW geändert und gut ist. Am Ende haben die Hacker nicht mehr bekommen, als wenn sie beim Einwohnermeldeamt nachgefragt hätten.^^
 
Zuletzt bearbeitet:
blizzard3008 schrieb:
ICh finde es sollte zumindest für Kommerzielle genutzte Websiten eine Richtlinie geben wie bestimmte Datensätze zu sichern sind. Muss ja nicht nach extern gegeben werden. Reichen ja bestimmte Richtlinien.
Richtlinien ohne gesetzlichen Rückhalt bringen aber gar nichts. Solche Richtlinien existieren ja schon, und zwar in Form des Grundkurses IT-Sicherheit.
Entweder du zwingst JEDEN gewerblichen Anbieter von Online-Diensten (da schließt private Blogs mit Werbebannern zur Refinanzierung ein), seinen Quellcode offen zu legen und bezahlst eine riesige Behörde, diese Codes nach Lücken zu filzen, oder du lässt es ganz.
Oh, und natürlich muss noch jemand die Server an sich filzen...

Gurkenbroetchen schrieb:
Da Zahlungsdaten nicht gespeichert werden, habe ich mein PW geändert und gut ist. Am Ende haben die Hacker nicht mehr bekommen, als wenn sie beim Einwohnermeldeamt nachgefragt hätten.^^
Nur wenn du dasselbe PW nicht mehrmals verwendet hast bzw. du noch genau weißt, wo du das PW noch verwendet hast und es dort auch änderst.
 
Gurkenbroetchen schrieb:
Brillen nicht, aber Kontaktlinsen. Es ist schon ein Unterschied, ob ich 95€ im Laden oder (gleich Marke) 40€ bei MisterSpex zahle. Das hat nichts mit Geiz-ist-geil zu tun. Nicht jeder hat 55€, die er zum Fenster raus werfen kann.

Kleiner Tipp, den ich bis Dienstag auch noch nicht wusste. Eine der größten (die größte?) Optikerkette in Deutschland hat eine Niedrigstpreisgarantie. Da bekommst du die Kontaktlinen 10% günstiger als das günstigste Internetangebot. Einfach Warenkorb ausdrucken und damit da hin latschen.
Das Posaunen die aber nicht raus, weil sonst natürlich jeder mit Internetangeboten kommt. Aber die Dame hat es mir erzählt, weil ich meinte, dass ich mir sonst eh die Kontaktlinsen im Netz hole. Also DAS ist für mich mittlerweile kein Grund mehr.

Daaron schrieb:
OK... und wer soll es z.B. bezahlen, wenn die Login-Daten dieses Forums hier von einer monströs teuren Security-Firma bewacht werden? Ach ich vergaß, du zahlst ja jeden Monat 100€ Mitglieds-Beitrag an Computerbase.

Naja, man muss es ja nicht unbedingt gesetzlich einführen. Wenn sich aber eine Firma darauf spezialisiert und daraus ein kommerzielles Dienstleistungs Angebot macht, bin ich mir sicher, dass da auch eine Nachfrage für besteht. Für die Online Händler hätte das große Vorteile: Sie können a) mit Sicherheit werben und b) sie geben die Haftung ab, denn der Imageschaden ist nach so einer Aktion natürlich riesig. Ich zumindest werde jetzt nicht mehr bei Mister Spex bestellen.
 
Quis custodiet ipsos custodes?

Wer sagt, dass die Sicherheitsfirma kein Schindluder treibt?
Nein, die korrekte Handlungsweise: alle Affen in der IT-Abteilung und beim Qualitätsmanagement kollektiv feuern nach so ner Nummer.
 
Ich spreche kein Latein und habe auch keine Lust, den Spruch jetzt zu googlen.

Aber so etwas muss natürlich präventiv passieren und nicht erst, wenn die Daten futsch sind.

Bei einer Firma, die sich dann darauf spezialisiert, sollte ja hoffentlich auch das Wissen vorhanden sein, wie man mit Daten umgeht. Gibts für sowas nicht auch Zertifizierungen vom TÜV oder so?

Aber ich gebe dir Recht, nach einem Datendiebstahl erstmal Personal runderneuern und den IT'lern Berufsverbot geben.
 
Daaron schrieb:
Der Unterschied ist nur: Foren-Software wie phpBB oder vBulletin speichert Passwörter gehashed.

Interessante Aussagen. Da könnte man nach den vielen Datenklau-Skandalen doch mittlerweile das Resümee ziehen, dass OpenSource-Software sicherer als die ganzen Eigenentwicklungen von Hinz&Kunz sind. Denn Klartext-Passwörter oder ungesalzene Password-Hashes wird man in keinem der großen OpenSource-Systeme mehr finden.
 
confuso schrieb:
Ich spreche kein Latein und habe auch keine Lust, den Spruch jetzt zu googlen.
Sinngemäß: Wer bewacht die Wächter.

ice-breaker schrieb:
Interessante Aussagen. Da könnte man nach den vielen Datenklau-Skandalen doch mittlerweile das Resümee ziehen, dass OpenSource-Software sicherer als die ganzen Eigenentwicklungen von Hinz&Kunz sind. Denn Klartext-Passwörter oder ungesalzene Password-Hashes wird man in keinem der großen OpenSource-Systeme mehr finden.
Es ist ja auch tatsächlich so, dass OpenSource sicherer ist. Lücken schleichen sich überall ein, bei weit verbreiteter FOSS ist es aber wahrscheinlicher, dass jemand die Lücken findet und, statt sie zu exploiten, sie lieber behebt. Es schauen einfach viel mehr Entwickler in die Software, denen elementare Mängel auffallen könnten.

Guck dir doch als gutes (oder eher: schlechtes) Beispiel die XML-Lücke in Windows Vista/7/Server an, die im Mai bekannt wurde (und auch aktiv ausgenutzt wurde), aber deren Fix erst Mitte Juli zum regulären Update-Mittwoch kam. Das sollte es mal bei Linux-Distributionen geben... Wenn da was gefunden wird, dann steht nach 1-2 Tagen aktueller Quellcode zur Verfügung, nach spätestens einer Woche haben alle großen Disti's den Fix in ihren Repositories.

Oder guck dir den proprietären NVidia-Treiber für Linux an. Das Ding hat eine seit Wochen bekannte Lücke, über die lokale User Root-Privilegien erhalten können. NVidia machen daran genau NICHTS.... und sonst kann ja keiner was dran ändern.
 
da braucht man doch nicht groß rumdiskutieren... es muss ne Richtlinie her und da geht es dann nicht unbedingt darum sie vorab zu kontrollieren und sämltiches codes zu durchforsten, sondern darum dass wenn was passiert man den jenigen an den Eiern hat und er ne Strafe und vorallem entstandenen Schaden zahlen muss. Wenn das nämlich so wäre, würde viele aus Sorge um ihren eigenen Ar... mehr Sicherheit einbauen und besser aufpassen!

Sowas ist einfach grob fahrlässig, gehackt werden kann an immer, aber es jemand so einfach zu machen finde ich schlimm.
 
Aha, und wie bezifferst du den entstandenen Schaden? Klar, wenn wir Amis wären, wo man sich an Kaffee verbrühen und dann erfolgreich auf ne halbe Millionen klagen kann.... aber wir sind keine Amis. Wie hoch ist der entstandene Sach- und Personenschaden (in €), wenn deine Login-Daten im Netz auftauchen? Und wie hoch ist die Verantwortung des gehackten Dienstleisters dafür, dass du so deppert warst, dieselbe mail+pw - kombo auch bei paypal zu nutzen?
 
Zurück
Oben