News Sicherheitslücke bei MSI: Hunderttausende Kunden­daten aus Garantie­fällen offen­gelegt

[paganini]

@mae1cum77
Schreib dann doch bitte deinen Namen, E-Mail Adressen, postalische Anschriften und deine Telefonnummern in die Signatur wenn es dich nicht stört, danke! Man kann ja damit eh nichts mit anfangen, dann darfst du uns ja gerne deine Daten geben

 

[Aslo]

Interessanter wäre mittlerweile ne Liste in der aufgeführt wird, welche Unternehmen in den letzten Jahren nicht von Datenlecks betroffen waren lol.

 

[s1ave77]

dann darfst du uns ja gerne deine Daten geben

Ich habe nicht gesagt, dass wäre angenehm für die Betroffenen. Aber direkten Schaden kann man nicht anrichten.

Du kannst mit meiner IBAN Geld auf mein Konto überweisen, mehr nicht.

 

[LETNI77]

Ich hoffe MSI bekommt eine Mrd Strafe und hat noch Jahre an den Zahlungen zu schaffen. Ich hoffe auch stark das die Verantwortlichen ihre Posten los sind und sie sich vor Gericht erst einm erklären müssen. So etwas geht einfach nicht

Das wird nicht passieren.

Die Liste ist lang.

Und außerdem werden die Daten oft hinterrücks verkauft. Man sichert sich einfach mit einem „Datenleck“ ab.

 

[dev/random]

Man sollte nie unterschätzen, was andere mit Daten anstellen können.
Z.B. erlaubt die Zuordnung von Namen und Addressen zu Produktinformationen evtl. auch die Zuordnung von MAC-Adressen zu Personen. Das wird nicht für jeden relevant sein, kann aber für Bereiche wie Menschenrechtsarbeit oder Journalismus schon kritisch sein.

 

[s1ave77]

Das wird nicht für jeden relevant sein, kann aber für Bereiche wie Menschenrechtsarbeit oder Journalismus schon kritisch sein.

Die sollten eher kein iPhone nutzen. Die werden wohl gern per Exploits infiltriert. Ist teuer, das muss sich nur lohnen.

 

[paganini]

@mae1cum77
„Es braucht nur den Namen und die dazugehörige Adresse, über die Paketbetrüger bestellen und mit denen sie die Ware dann abfangen können. Deshalb kann jeder zum Opfer werden. Die Rechnung und alle folgenden Mahnungen durch ein Inkassobüro landen freilich in ihrem Briefkasten, auch wenn es sich bei der Bestellung um eine kriminelle Handlung Dritter handelt, nämlich den Missbrauch von personenbezogenen Daten.“

https://www.lokalmatador.de/thema/paket-betrug-die-maschen-der-taeter-jetzt-richtig-handeln-2899/

Und das ist nur ein Beispiel, glaube mir mit den Daten können Betrüger weitaus mehr anstellen. Aber schön das es auch welche gibt die denken da passiert nichts. Naja alles gute!

 

[s1ave77]

Es braucht nur den Namen und die dazugehörige Adresse

Dann lass besser nie einen Telefonbucheintrag erstellen. Wird da mit dem Namen gespeichert. Sogar analog.

 

[H3llF15H]

Ist denn hier niemand außer mir, der über 600.000 Reklamationen erschrocken ist?

Alto belli...

 

[Tobias123]

So etwas muss richtig weh tun. Dreistellige Millionenstrafen oder höher, je nach Jahresumsatz.
Man kann heute ja fast nichts mehr tun ohne einen Account mit sensiblen Daten anzulegen. Die Firmen speichern die Daten länger als notwendig und irgendwer wird immer gehakt.
Musste schon mehrfach Telefonnummer und EMail deswegen wechseln. Z.B. damals bei Yahoo, Adobe, Motel One. Das ist für die Betroffenen immer so viel Ärger und die Firmen kommen in der Regel viel zu gut dabei weg.

 

[xXDariusXx]

Ist natürlich nicht schön von MSI, aber es wird mich nicht von deren Mainboards wegbringen. Was wäre die Alternative? ASUS ja wohl kaum, bei deren "Qualität". ^^ Und Gigabyte hab ich auch keine guten Erfahrungen.

ASRock womöglich?

 

[Tobias123]

Der Scammer weiß dann, du du eine kaputte Grafikkarte hattest

...und er wird deine Daten nutzen um dir Fishing-Mails, Spam, Trojaner und Fake-SMS zu schicken. Wenn du Pech hast, kannst du dich bzgl. der digitalen Kommunikation neu organisieren.

 

[gustlegga]

Ist denn hier niemand außer mir, der über 600.000 Reklamationen erschrocken ist?

Weil ?
Die Daten reichen laut Artikel bis mindestens 2017 zurück.
Und MSI verkauft schon ein paar Dinge mehr als nur eine Handvoll Grakas und MoBos im Jahr.
Das kann vom einfachen defekten 10€ WLAN-Stick, wo sich der Realtek Chip verabschiedet hat bis zum Kratzer am Gehäuse eines 3000€ Laptops weil die Verpackungsmaschine im zB. Foxconnwerk ausserhalb der Toleranz war, alles sein.

 

[Goozilla]

dass es absolut sinnlos ist irgendwelche Zertifikate für BSI Grundschutz oder ISO27001 zu haben

MSI ist nicht ISO27001 zertifiziert (https://www.msi.com/page/quality)
Ich frage mich, wie du zu der Meinung kommst, dass der ISO27001 Standard sinnlos ist, wenn das Unternehmen nach diesem nicht zertifiziert ist?

Hast du dazu weitere Informationen, wo du Schwächen im Standard erkannt hast?

 

[Schmarall]

Ich frage mich, was da alles schief laufen muss, damit das überhaupt passieren kann.

Netzwerk so konfiguriert, dass eine intranet-Subdomain von außen ohne VPN zugänglich ist UND kein Login/SSO aktiv damit der Zugang nur für befugte Mitarbeiter möglich ist.

Ziemlich unglaublich.

Kenne mich nicht aus aber oft ist es doch so, dass Firmen auch normale externe Suchmaschinen nutzen, wenn man etwas auf ihrer Seite suchen will, statt eine eigene zu nehmen. Ich spekuliere mal, dass die nicht richtig eingestellt war und halt mehr angezeigt hat bzw. man auch von außerhalb suchen durfte.

 

[Rickmer]

Sind meistens Lücken in APIs von Drittanbietern oder du kommst irgendwie ins Firmennetz und greifst da die Daten über irgendne API ab.

Oder in diesem Fall konnte man es einfach über die Google Suche finden... was nur möglich ist bei vollständigem Mangel jeder Authentifizierung.

@paganini Und? Ist nicht gut. Ich sehe da aber erstmal nichts, was du bräuchtest, um meine Identität zu übernehmen. Das brauch meinen Ausweis, Kredit/Debit-Karte oder einen meiner Accounts.

Es geht nicht darum, deine Identität zu übernehmen, sondern darum, dass jemand dir sehr gezielte und überzeugende Scams zuschicken kann (konnte), und das potentiell deutlich schneller als der eigentliche Kundensupport auf die RMA-Anfrage reagiert.

Schau mal ins Video. Steve hat explizit eine ganze Reihe an Beispiel-Scenarien durchgesprochen, wie auch ein aufmerksamer Mensch hinters Licht geführt werden könnte.

 

[2888]

All diese Daten konnten bequem per Mausklick als Excel-Tabellen exportiert und gespeichert werden. Ebenso war es über Schaltflächen der Oberfläche möglich, Sendungsverfolgungsdaten abzurufen.

Es gab doch einen Fall, wo ein niedrigrangiger US-Soldat ebenfalls eine Reihe von klassifizierten Daten aus dem Pentagon mit nach Hause nehmen konnte. Damit hat er dann irgendwie auf Discord angegeben.

https://www.dw.com/de/us-geheimdokumente-im-netz-was-bislang-bekannt-ist/a-65280803

Wenn das selbst im Militär möglich ist, dann wundert mich das bei MSI eigentlich null. Egal, ob Firma oder Militär. Jeder sollte nur Zugriff auf die Daten haben, die er für seinen Job braucht. Ich sehe nicht, wozu jemand bei MSI eine Excel-Datei mit allen Kundendaten braucht.

 

[Alpha.Male]

Just another day in fraud's paradise.🥳

Oder: Das scheint bei vielen Unternehmen " Volkssport" geworden zu sein...die Verachtung mancher Unternehmer , gegenüber dem Kunden auszudrücken... dadurch dessen sensiblen Daten keineswegs in wirklich guten Händen zu wähnen..🙄

 

[Vssy]

MSI verkauft auch Router für rund 250 Euro, also wären eigentlich vom "Fach".

was man zwar denken würde jedoch verkauft jeder hinz und kunz gaming router. egal ob MSI, Asus, ASRock, Xiaomi, Huawei usw. sind alle so ziemlich der gleiche murks. nur mit bisschen mehr oder weniger RGB und 1-2 Marketing settings die meist eh nutzlos sind für den avg. user. Im Kern wird überall die selbe Software Copy paste drauf geklatscht pro generation und von der Hardware sowieso OEM mit RGB für weniger (Hardcore Phone gaming) latency

 

[s1ave77]

Es geht nicht darum, deine Identität zu übernehmen, sondern darum, dass jemand dir sehr gezielte und überzeugende Scams zuschicken kann (konnte), und das potentiell deutlich schneller als der eigentliche Kundensupport auf die RMA-Anfrage reagiert.

Immernoch unangenehm.

Es kann jederzeit passieren, dass jemand versucht, meine 'Person' zu übernehmen. Da reicht manchmal das Telefonbuch und nebenbei die IBAN 'abgegriffen'. Das geht eine Weile, um mich allerdings komplett und ohne dass ich zweifelsfrei beweisen kann, ich bin ich und nicht er, zu übernehmen, braucht es einiges mehr.

Wer den Fehler macht, Informationen unbedacht im Klartext und irgendwas Internet, ohne dass es angefordert wurde, hat größere Probleme. Und solche Daten werden dann eher über das Portal direkt eingeben, nicht per Mail-Anhang 'erbeten'.

Chuck Norris schreibt keine SMS (haben eh Angst vor ihm) und die Polizei keine Emails mit Bitte, alle deine Account-Credentials als TXT im Anhang zur Verfikation zu schicken.