Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSicherheitslücke bei MSI: Hunderttausende Kundendaten aus Garantiefällen offengelegt
@mae1cum77
Schreib dann doch bitte deinen Namen, E-Mail Adressen, postalische Anschriften und deine Telefonnummern in die Signatur wenn es dich nicht stört, danke! Man kann ja damit eh nichts mit anfangen, dann darfst du uns ja gerne deine Daten geben
Ich hoffe MSI bekommt eine Mrd Strafe und hat noch Jahre an den Zahlungen zu schaffen. Ich hoffe auch stark das die Verantwortlichen ihre Posten los sind und sie sich vor Gericht erst einm erklären müssen. So etwas geht einfach nicht
Man sollte nie unterschätzen, was andere mit Daten anstellen können.
Z.B. erlaubt die Zuordnung von Namen und Addressen zu Produktinformationen evtl. auch die Zuordnung von MAC-Adressen zu Personen. Das wird nicht für jeden relevant sein, kann aber für Bereiche wie Menschenrechtsarbeit oder Journalismus schon kritisch sein.
@mae1cum77
„Es braucht nur den Namen und die dazugehörige Adresse, über die Paketbetrüger bestellen und mit denen sie die Ware dann abfangen können. Deshalb kann jeder zum Opfer werden. Die Rechnung und alle folgenden Mahnungen durch ein Inkassobüro landen freilich in ihrem Briefkasten, auch wenn es sich bei der Bestellung um eine kriminelle Handlung Dritter handelt, nämlich den Missbrauch von personenbezogenen Daten.“
Und das ist nur ein Beispiel, glaube mir mit den Daten können Betrüger weitaus mehr anstellen. Aber schön das es auch welche gibt die denken da passiert nichts. Naja alles gute!
So etwas muss richtig weh tun. Dreistellige Millionenstrafen oder höher, je nach Jahresumsatz.
Man kann heute ja fast nichts mehr tun ohne einen Account mit sensiblen Daten anzulegen. Die Firmen speichern die Daten länger als notwendig und irgendwer wird immer gehakt.
Musste schon mehrfach Telefonnummer und EMail deswegen wechseln. Z.B. damals bei Yahoo, Adobe, Motel One. Das ist für die Betroffenen immer so viel Ärger und die Firmen kommen in der Regel viel zu gut dabei weg.
Ist natürlich nicht schön von MSI, aber es wird mich nicht von deren Mainboards wegbringen. Was wäre die Alternative? ASUS ja wohl kaum, bei deren "Qualität". ^^ Und Gigabyte hab ich auch keine guten Erfahrungen.
...und er wird deine Daten nutzen um dir Fishing-Mails, Spam, Trojaner und Fake-SMS zu schicken. Wenn du Pech hast, kannst du dich bzgl. der digitalen Kommunikation neu organisieren.
Weil ?
Die Daten reichen laut Artikel bis mindestens 2017 zurück.
Und MSI verkauft schon ein paar Dinge mehr als nur eine Handvoll Grakas und MoBos im Jahr.
Das kann vom einfachen defekten 10€ WLAN-Stick, wo sich der Realtek Chip verabschiedet hat bis zum Kratzer am Gehäuse eines 3000€ Laptops weil die Verpackungsmaschine im zB. Foxconnwerk ausserhalb der Toleranz war, alles sein.
MSI ist nicht ISO27001 zertifiziert (https://www.msi.com/page/quality)
Ich frage mich, wie du zu der Meinung kommst, dass der ISO27001 Standard sinnlos ist, wenn das Unternehmen nach diesem nicht zertifiziert ist?
Hast du dazu weitere Informationen, wo du Schwächen im Standard erkannt hast?
Ich frage mich, was da alles schief laufen muss, damit das überhaupt passieren kann.
Netzwerk so konfiguriert, dass eine intranet-Subdomain von außen ohne VPN zugänglich ist UND kein Login/SSO aktiv damit der Zugang nur für befugte Mitarbeiter möglich ist.
Kenne mich nicht aus aber oft ist es doch so, dass Firmen auch normale externe Suchmaschinen nutzen, wenn man etwas auf ihrer Seite suchen will, statt eine eigene zu nehmen. Ich spekuliere mal, dass die nicht richtig eingestellt war und halt mehr angezeigt hat bzw. man auch von außerhalb suchen durfte.
Oder in diesem Fall konnte man es einfach über die Google Suche finden... was nur möglich ist bei vollständigem Mangel jeder Authentifizierung.
mae1cum77 schrieb:
@paganini Und? Ist nicht gut. Ich sehe da aber erstmal nichts, was du bräuchtest, um meine Identität zu übernehmen. Das brauch meinen Ausweis, Kredit/Debit-Karte oder einen meiner Accounts.
Es geht nicht darum, deine Identität zu übernehmen, sondern darum, dass jemand dir sehr gezielte und überzeugende Scams zuschicken kann (konnte), und das potentiell deutlich schneller als der eigentliche Kundensupport auf die RMA-Anfrage reagiert.
Schau mal ins Video. Steve hat explizit eine ganze Reihe an Beispiel-Scenarien durchgesprochen, wie auch ein aufmerksamer Mensch hinters Licht geführt werden könnte.
All diese Daten konnten bequem per Mausklick als Excel-Tabellen exportiert und gespeichert werden. Ebenso war es über Schaltflächen der Oberfläche möglich, Sendungsverfolgungsdaten abzurufen.
Es gab doch einen Fall, wo ein niedrigrangiger US-Soldat ebenfalls eine Reihe von klassifizierten Daten aus dem Pentagon mit nach Hause nehmen konnte. Damit hat er dann irgendwie auf Discord angegeben.
Wenn das selbst im Militär möglich ist, dann wundert mich das bei MSI eigentlich null. Egal, ob Firma oder Militär. Jeder sollte nur Zugriff auf die Daten haben, die er für seinen Job braucht. Ich sehe nicht, wozu jemand bei MSI eine Excel-Datei mit allen Kundendaten braucht.
Oder: Das scheint bei vielen Unternehmen " Volkssport" geworden zu sein...die Verachtung mancher Unternehmer , gegenüber dem Kunden auszudrücken... dadurch dessen sensiblen Daten keineswegs in wirklich guten Händen zu wähnen..🙄
was man zwar denken würde jedoch verkauft jeder hinz und kunz gaming router. egal ob MSI, Asus, ASRock, Xiaomi, Huawei usw. sind alle so ziemlich der gleiche murks. nur mit bisschen mehr oder weniger RGB und 1-2 Marketing settings die meist eh nutzlos sind für den avg. user. Im Kern wird überall die selbe Software Copy paste drauf geklatscht pro generation und von der Hardware sowieso OEM mit RGB für weniger (Hardcore Phone gaming) latency
Es geht nicht darum, deine Identität zu übernehmen, sondern darum, dass jemand dir sehr gezielte und überzeugende Scams zuschicken kann (konnte), und das potentiell deutlich schneller als der eigentliche Kundensupport auf die RMA-Anfrage reagiert.
Es kann jederzeit passieren, dass jemand versucht, meine 'Person' zu übernehmen. Da reicht manchmal das Telefonbuch und nebenbei die IBAN 'abgegriffen'. Das geht eine Weile, um mich allerdings komplett und ohne dass ich zweifelsfrei beweisen kann, ich bin ich und nicht er, zu übernehmen, braucht es einiges mehr.
Wer den Fehler macht, Informationen unbedacht im Klartext und irgendwas Internet, ohne dass es angefordert wurde, hat größere Probleme. Und solche Daten werden dann eher über das Portal direkt eingeben, nicht per Mail-Anhang 'erbeten'.
Chuck Norris schreibt keine SMS (haben eh Angst vor ihm) und die Polizei keine Emails mit Bitte, alle deine Account-Credentials als TXT im Anhang zur Verfikation zu schicken.
