ComputerBase Menü
Aktuelles

News K&M Elektronik gehackt, benutzt und jetzt offline

Ein Shop,der über FACEBOOK mit seinen''Kunden''kommunizieren muß,ist für mich eh nen WITZ !

Ändert allerdings nichts daran,das sie Opfer von beschixxenen Leuten wurden,die reichlich Ahnungslose(Dumme?)Kunden ''gefisht''haben.:(
 
Gestern war auch Dropbox offen, sie haben vergessen die Tür zu schließen und jedes Konto war einsehbar...
Zum Vergrößern anklicken....
komisch, dass es nur in diesem Jahr passiert und nicht letztes Jahr oder das Jahr davor...

Ich weiß nicht, aber ist euch mal die Idee gekommen, dass vielleicht etwas ganz anderes hinter diesen Taten steckt?
Wie kann es sein, dass urplötzlich diese und jene Seite so aus heiterem Himmel gehackt wird und letztes Jahr von so etwas nie die Rede war(Da waren es komischrweise die Daten-CDs)? Wie kann es sein, dass 128er Verschlüssellungen einfach umgangen werden, wo wir doch wissen, dass es ungefährt 8 Jahre dauert, diese zu überwältigen?
Merk ich das nur oder macht sich darüber einfach kein anderer Gedanken: Wir werden vom Staat verarscht?
Irgendwelche Einstweiligen Verfügungen, die ansonsten zur Schließung führen, werden angewand. Klar kommt jetzt wieder die Frage auf: "Welche Einstweiligen Verfügungen?" Woher soll ich das Wissen? Aber ist unsere Gesetzgebung mittlerweile nicht so riesig geworden, dass dort eigentlich keiner mehr weiß wo 1 und wo 3 steht?
In 2 Monaten heißt es bestimmt: Amazon.de Daten geklaut und Server lahm gelegt. Entschuldigung aber mir kommt das alles einfach zu einfach vor. Wenn keine 8 Jahre, wie denn dann?


Gruß Andy
 
Zuletzt bearbeitet:
Ich hab so eine mai zwar nicht bekommen, aber generell würde ich auch vieles anklicken, das als Absender einen shop enthält, bei dem ich registriert bin.

Aber ob och versucht hätte mir einen Gutschein oer java zu generieren? Spätestens bei der Nachfrage nach adminrechten wäre wohl ende gewesen. Aber weil Java ja eh dauernd nach rechten wegen der Aktualisierung fragt, hätte ich da vielleicht auch einfach weiter geklickt..
Ergänzung ()

Zum Thema datenklau

Generell ist es nicht schön zuzusehen, wie unsicher sensible Daten bei all den diensten und Shops sind, bei denen man angemeldet ist. Man bedenke, dass ja nicht alle gehackt werden müssen, sondern ein einziger reicht.

sensible Daten sind für mich aber nicht: Name, Adresse, Bankkonto, kk, Telefon

Dumm ist immer nur wenn nutzername und pw flöten gehen und natürlich wenn sie eine bestelhistory einem Namen zuordnen können.
Ergänzung ()

bunker978 schrieb:
Ein Shop,der über FACEBOOK mit seinen''Kunden''kommunizieren muß,ist für mich eh nen WITZ
Zum Vergrößern anklicken....

Warum denn das? Ist doch völlig in Ordnung...
 
Weil vielleicht nicht jeder dort angemeldet ist, oder dies möchte?
Ziemlich unseriös finde ich.
 
latexdoll schrieb:
Zum Thema Sicherheit...

Ein kleiner Aspekt... die Kassensysteme laufen alle noch mit einen internet-fähigen Dos System.
Zum Vergrößern anklicken....

Wer sein Kassensystem oder Kundendatenbank internetfähig macht, ist selbst schuld. Man kann die System auch geschloßen halten. Wir haben Kunden die 100fach größer sind als respektive K&M und dort gab es nicht einen einzigen "Einbruch". Zwar wird versucht das Zentralsystem anzugreifen, aber da hocken unsere Jungs und werten jeden komischen Eintrag aus, zusätzlich sichern FW&Co den rest. Wie gesagt, es ist eine Frage des Geldes den eine Firma zur Sicherheit investieren gewillt ist.
 
Zuletzt bearbeitet: (Rechtschreibfehler ausgebessert)
Ich versteh euch nicht.

Es ist der NORMALZUSTAND, der sich jetzt langsam aber sicher einstellt.
Das Netz is voll von unsicheren Systemen, deren Betreiber fahrlaessig uninformiert sind und wird immer voller von Leuten, die willens und faehig sind, diese Unsicherheiten zu ihrem Vorteil zu nutzen.

Das Netz hat sich doch von einer anarchischen Nerd-Spielwiese in ein riesengrosses, buntes und vor allem bedenkenlos blindes Kaufhaus verwandelt; und jetzt schwingt der Pendel gnadenlos - laengst ueberfaellig - in die andere Richtung zurueck.

Gewoehnt euch dran. Eure Daten sind nirgendwo "sicher"; nicht hier, nicht bei eurem Online-Banking, nicht in eurem Lieblingsshop, nicht bei eurem Webmail-Provider oder sonstwo.

Ich finds super, dass mit dem Mythos "Sicherheit" mal so konsequent aufgeraeumt wird, denn nur ein bestohlener User wird in Zukunft ein vorsichtiger User.
 
Naja, zumindest das in den Filialen verwendete PAN System können sie nicht hacken. Die Sch**** basiert auf DOS und ist damit wahrscheinlich viel zu kryptisch für die Cracker.

Als ich die News gelesen habe musste ich erst mal lachen! Hätte nicht gedacht das mein alter Arbeitsplatz gehackt wurde xD
 
juhu, und wieder ein PW ändern.
 
Sprichst mir aus dem Herzen.

Was dieser Blödsinn mit Facebook? Verlagern sich jetzt Inhalte in eine Art Sub-Web, nur damit daraus noch mehr Kapital geschlagen werden kann, das darüber hinaus nur in eine Richtung fließt?

Vielleicht sollte man Facebook mal zum Ziel machen. Evtl. ginge dann dem Einen oder Anderen mal ein Licht bezüglich des Facebook-Exhibitionismus auf... :rolleyes:
 
CremeDeLaCreme schrieb:
Warum denn das? Ist doch völlig in Ordnung...
Zum Vergrößern anklicken....

Nein ist es nicht! Schaust du täglich die FB-Profile von deiner Versicherung, Bank, Shops an? Nur um zu erfahren ob ein Datenleck vorliegt?

Wenn ich mir das Ganze so überlege, ist eine solche Bekanntgabe eigentlich grob-fahrlässig. Die Kunden sollte schnellst möglich und direkt kontaktiert und gewarnt werden.
 
ice-breaker schrieb:
Auch wenn ich viele der US-IT-Gesetze nicht mag, jedoch gibt es dort Gesetze die Unternehmen bei solchen Einbrüchen dazu verpflichten die Kunden schriftlich darüber zu informieren.
Zum Vergrößern anklicken....

aus http://dejure.org/gesetze/BDSG/42a.html

"§ 42a
Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte
1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen."

Mit dem Satz "und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen[/U]" kann man es auslegen wie man will.

Dem Vorstand ist das ja egal:
"...Wie viele Kunden bei K&M registriert und somit von den Vorfällen betroffen sind, wollte K&M auf Rückfrage von heise Security nicht bekannt geben: "Wir bitten wir um Verständnis dafür, dass der Vorstand solche Daten als Betriebsgeheimnis betrachtet..."
http://www.heise.de/security/meldung/Gezielter-Angriff-auf-Kunden-von-K-M-Elektronik-1265222.html
 
Mit so einem **** wie Facebook binden wir uns doch selber! Deswegen nutzen die anderen das auch aus, wenn nicht über Sozialnetzwerke wo den sonst würden sie die Leute informieren. Kostengünstig ist das auch noch. So wie aussieht, graben wir doch selber uns ein Loch.

Mein Acc habe ich seit ca. 2 Monaten bei Facebook gelöscht. All meine Freunde können mich immer noch bei mir zuhause besuchen oder per Telefon , ICQ oder E-Mail erreichen.
 
TStarGermany, Top Beitrag.

"...Ich finds super, dass mit dem Mythos "Sicherheit" mal so konsequent aufgeraeumt wird, denn nur ein bestohlener User wird in Zukunft ein vorsichtiger User...!

Ich wollte mir nur meine Passwörter mit Keepass sammeln und auf USB-Stick mit nehmen, nicht einmal auf z.B. TeamDrive oder Dropbox uploaden, um Gottes Willen - NEIN.
Nach dem tolpatschigen Vorfall von DropBox kann ich jetzt nur beruhigt lächeln. Auch wenn KeePass sicher sein soll, würde ich nicht ruhig schlafen können, wenn ich wüsste, einer hat meine DB und spielt jetzt daran herum...:D
Also müsste ich zig oder mehr PWs ändern...:D
 
Also mal 2 Cent zur Ehrenrettung von K&M und weitere 10 Cent zu etwas Hintergrund der Aktion, denn ich durfte mir das mal etwas genauer anschauen.

Zu K&M:

K&M wurde nicht gehackt und es wurden auch keine Daten gestohlen. Was die Phisher hier ausgenutzt haben, war eine "Sicherheitslücke" im K&M-Shopsystem.

Das bedeutet: Ihr braucht Euer PW nicht zu ändern.


Zu den Details:

Da hat der Programmierer des Shops eindeutig gepennt. Was war passiert? Beim Aufruf der Shop-Kategorien wird in der URL ein Parameter mitgebeben z.B. "cat=5". Der GuteProgrammierer™ überprüft jetzt, ob hier wirklich eine Zahl übergeben wurde. Im Falle K&M wurde das nicht überprüft und - das ist der Oberknaller - der Wert direkt an die Datenbank durchgereicht. So konnte man ein geschickt platziertes SQL an diesem Parameter dazu nutzen, auf der Ergebnis-Seite seinen eigenen HTML-Code anzeigen zu lassen. (Stichwort: SQL-Injection).

Was passiert nun hier in diesem Fall, wenn man auf den Link geklickt hat?

- die offizelle K&M-Webseite wurde aufgerufen
- Es wurde die K&M-Webseite auch korrekt angezeigt
- Zusätzlich wurde ein Java-Applet geladen
- Dieses Java-Applet hat durch eine Sicherheitslück eine EXE heruntergeladen und ausgeführt
- diese EXE hat sich auf dem Rechner installiert und in den Autostart der Registry eingetragen

Ich habe die EXE durch Virus-Total gejagt. Kein Scanner hat die EXE als Malware/Virus erkannt. So viel zu diesen Snakeoil-Produkten.

Grüße,
g0pher

Disclaimer: Ich bin kein K&M-Mitarbeiter, sondern wurde von einem Kollegen auf "Eine komische K&M-Mail auf seinem Rechner" aufmerksam gemacht.
 
Zuletzt bearbeitet:
unwort des jahres 2011: hacker bzw. gehackt :0
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz