ComputerBase Menü
Aktuelles

News Vodafone: Millionen Kundendaten gestohlen

Es wurde nur gesagt was die Bevölkerung hören soll damit keiner Verdacht schöpft das die Daten verkauft wurden weil Vodafon vor dem aus steht. Es wird einfach als ein Hackerangriff vertuscht.
 
Ist euch eigentlich aufgefallen, dass der Link über HTTP und nicht über HTTPS aufgerufen wird und auch nicht nach drücken auf den Button "Prüfen" über HTTPS wechselt?
(Zumindest bei meinen fiktiven Daten beobachtet )
Ich kann mich irren, falls anderweitig einen Sicherheit bei der Datenübertragung geschieht...
aber es sieht alles nach einem Standard HTML / PHP Transfer aus...

Ich hätte zumindest erwartet eine HTTPS Verbindung aufgezwungen zu bekommen...

BTW, manuelles eintippen von "https://" vor der Adresse führt tatsählich zu einer SSL Verbindung.
Immerhin besitzen sie ein gültiges SSL Zertifikat

online Überprüfen (mit HTTPS)

Gruß
Elder89

BTW: ComputerBase wtf?
-> Ich wollte meinen Beitrag editieren, weil ausversehen https://http:// in der URL Stand und bekam verboten daran änderungen vorzunehmen, weil die URL nicht auf der WhiteList steht...
--> Aber beim neu Erstellen funzt alles (siehe diese Nachricht; alte bitte löschen :D )
Ergänzung ()

Danke für den Hinweis,

nachdem ich JavaScript für "vodafone.de" aktiviert habe, gehts auch bei mir.

NoScript user aufgepasst! :lol:

Gruß
 
Zuletzt bearbeitet:
Genau deswegen mach ich immer ein <noscript> tag bei mir in die Webseiten rein :)
 
[ChAoZ] schrieb:
Klar, trotzdem hast du den Ärger während ich vorerst auf deine Kosten sonst was machen durfte.
Nach 6 Wochen ZAHLST DU wenn die Frist versäumt wurde.
Zum Vergrößern anklicken....

Nein

"Die Widerspruchfrist bei Lastschriften durch Einzugsermächtigung beträgt bei autorisierten Lastschriften 6 bzw. 8 Wochen und bei nicht autorisierten Lastschriften 13 Monate. Innerhalb dieser Zeit ist ein Widerspruch ohne Angabe eines Grundes jederzeit möglich"

Die 6 Wochen, bzw. dann 8 mit SEPA, beginnen auch erst ab Rechnungsabschluss der Bank, tatsächlich hat man also oft noch länger Zeit

Und da ein Betrüger nicht autorisiert ist, habe ich überhaupt keine Rennerei und kann mein Geld einfach zurückbuchen, ganze 13 Monate lang ohne großen Ärger.

Darüber hinaus verfällt mein Anspruch auf Rückzahlung natürlich auch nach 13 Monaten nicht, das betrifft ja nur die Fristen der Bank. Ab dann hat man aber wirklich den Ärger.
 
[ChAoZ] schrieb:
Nicht bei uns im Unternehmen!
Habt ihr überhaupt einen Datenschutzbeauftragten?
Zum Vergrößern anklicken....
Natürlich haben wir einen Datenschutzbeauftragten. Aber Bankdaten benötigen nun mal keinen besonderen Schutz.

Klar, trotzdem hast du den Ärger während ich vorerst auf deine Kosten sonst was machen durfte.
Nach 6 Wochen ZAHLST DU wenn die Frist versäumt wurde.
Zum Vergrößern anklicken....
Selbst nach den 6 Wochen kann ich das Geld wiederholen. Ist dann halt etwas aufwendiger (das haben andere aber schon detaillierter erklärt).

Nicht umsonst muss man PCI Zertifiziert sein um KK Daten speichern zu dürfen!
http://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
Zum Vergrößern anklicken....
Zwei verschiedene paar Schuhe.

Du hast keinen Plan, das erkennt man an deinen unsinnigen Aussagen.
Gerade dass Sachbearbeiter Zugriff drauf haben ist:
1) potenziell Unsicher
2) zu aufwendig
Zum Vergrößern anklicken....
Im Gegensatz zu dir möchte ich dir nicht jegliche Fachkompetenz absprechen, aber hier verstehst du nicht worum es geht.
Die Sachbearbeiter brauchen in solchen Unternehmen Zugriff, weil der Kunde die Daten auch telefonisch ändert. Oder bei der Bestellung angibt (dann stehen so ggf sogar auf nem Blatt Papier). Da macht es einfach keinen Sinn sowas zu verschlüsseln, wenn sowieso der Zugriff notwendig ist.

Rückzahlungen sowie das Capturing geschieht in großen Unternehmen vollautomatisiert.
Unser Unternehmen hat 20-30k Bestellungen pro Tag auf alle Mandanten aufgeteilt... wenn jeder Auftrag manuell eingelesen werden muss, haben wir eine Lieferzeit von 3 Monaten^^
Zum Vergrößern anklicken....
Hat mit dem Thema aber wenig zutun.

Ein Applikation ließt die Aufträge ein, entschlüsselt on-the-fly die Kontoverbindung und gibt diese an das Capturing-System weiter.
Die Daten liegen Millisekunden im Klartext vor (nur im Speicher!) und werden an das System weitergereicht.
Nächster Auftrag wird eingelesen und die Daten im Speicher mit neuen überschrieben. Und so weiter und so weiter.... sehr vereinfacht dargestellt.
Zum Vergrößern anklicken....
Wozu dieser Aufwand?

Ich verstehe immer noch nicht WARUM ein Sachbearbeiter die Kto-Daten braucht?
WOZU BITTE?
Zum Vergrößern anklicken....
Ruf mal bei einem Dienstleister an bei dem du per ELV zahlst -> Du kannst telefonisch deine Kontodaten ändern, das macht der Sachbearbeiter dann für dich.
Oder du erhälst eine Mahnung für etwas was längst bezahlt ist, der Sachbearbeiter fragt nach der Kontonummer, prüft ob von dort Zahlungen eingegangen sind und setzt den Fall auf erledigt (falls Geld eingegangen ist).
Gerade letzteres wäre mit Verschlüsselung nicht möglich, denn da müssten bei einer Abfrage alle Kontonummern entschlüsselt werden. Bei mehreren Millionen Kunden dauert das dann keine Millisekunden, sondern mehrere Minuten.
Zumal dafür massiv viel Speicher notwendig wäre, oder aber die Abfrage aufgesplittet werden müsste.

Zumal auch in deiner Firma ein Insider an die Bankdaten kommen könnte. Gerade der Programmierer schaut einfach nach dem Algorithmus und holt sich die Daten.


An sich wird hier nur viel Lärm um nichts gemacht.
 
Haha über nen USB Stick konnten sie was ins System schleusen. Wenn das stimmt ist das einfach so extrem arm Vodafone.

Aber wie ja schon vorher geschrieben, die ganzen Mitarbeiter da bekommen einfach Standardrechner ohne Schutz weils am billigsten ist und Sicherheit in dem Fall nix kosten darf.
 
momos schrieb:
Und da ein Betrüger nicht autorisiert ist, habe ich überhaupt keine Rennerei und kann mein Geld einfach zurückbuchen, ganze 13 Monate lang ohne großen Ärger.
Zum Vergrößern anklicken....
Auch wenn du das Geld wieder bekommst so KANN es ärgerlich sein wenn man plötzlich ohne Geld mit vollem Einkaufswagen bei Aldi steht. Oder man deswegen Geld leihen muss, oder Überziehungszinsen zahlen....
Zum Urprungsgedanken: Kontodaten sind sensible Daten! Vielleicht nicht nach Gesetzt (?) aber nach der Brain.exe
 
[ChAoZ] schrieb:
Kontodaten sind sensible Daten! Vielleicht nicht nach Gesetzt (?) aber nach der Brain.exe
Zum Vergrößern anklicken....
Dann darf man aber auch niemanden etwas überweisen, denn der hat ja dann diese sensiblen Daten.
Auch ELV sollte man vermeiden, denn die Unternehmen speichern die Daten in der Regel unverschlüsselt und könnten wie in diesem Fall gehackt werden.

Viele Entwickler haben in ihre Programme übrigens auch Spenden-Buttons eingebaut. Und was sieht man da dann? Richtig, die Bankdaten des Entwicklers.

Wirklich sensible Daten sind das nicht.

Schaden anrichten kann ich auch wenn ich die nur Adressdaten habe. Da könnte ich theoretisch 50 Zeitschriftenabos abschließen, die das Opfer erstmal kündigen müsste und sich mit 50 Firmen rumschlagen müsste.

Es sollte natürlich nicht passieren das Unternehmen diese Daten entwendet werden, aber gerade wenn der Zugriff intern passiert lässt sich das eben nicht verhindern.
 
Egal wie hoch die Kriminelle Energie auch war, sollten Firmen die die über keinen ausreichenden Schutz verfügen oder wie auch Vodafone löcher erst stopft wenn was Passiert ist genauso Hart bestraft werden wie die Täter auch!

Wenn mein Auto Geklaut wird weil ich es nicht abgeschlossen habe werde ich ebenfalls dafür bestraft weil ich es den Tätern so leicht gemacht habe.
 
Der Puritaner schrieb:
Egal wie hoch die Kriminelle Energie auch war, sollten Firmen die die über keinen ausreichenden Schutz verfügen oder wie auch Vodafone löcher erst stopft wenn was Passiert ist genauso Hart bestraft werden wie die Täter auch!
Zum Vergrößern anklicken....
Ein Schutz ist niemals ausreichend. Zumal hier nicht einmal eine Lücke vorhanden war, da die Daten intern abgegriffen wurden. Dagegen kann man sich nicht schützen.
 
Artikel-Update: Seit heute gibt es ein Bekennerschreiben der Hackergruppe „Team_L4w“, das aber mittlerweile von Vodafone als nicht authentisch bezeichnet wurde, die Gruppe sei als Trittbrettfahrer einzuschätzen, so Vodafone. Die Gruppe behauptet dagegen, Vodafone Beweise für ihre Täterschaft per Mail geliefert zu haben. Die im Verdacht stehende Person, bei der eine Hausdurchsuchung stattgefunden habe, sei unschuldig und von der Hackergruppe nur benutzt worden. Vermutlich handelt es sich um einen Mitarbeiter eines Subunternehmens, dessen PC die Gruppe mit Schadsoftware bestückt haben will.

In dem Bekennerschreiben heißt es außerdem, es sei keine „hohe kriminelle Energie sowie Insiderwissen“ nötig gewesen, um die Daten, „die tief versteckt in der IT-Infrastruktur“ gewesen seien, zu erbeuten. Die Daten haben auf einem schlecht gesicherten Server gelegen, so der Sprecher der Gruppe, der sich „B3n“ nennt. Abweichend von den Angaben, die Vodafone am Donnerstag machte, wollen die Hacker auch Daten zu den jeweiligen Inhabern der Konten sowie deren Telefonnummern und zudem bei manchen Datensätzen auch zusätzliche Vermerke erbeutet haben. Die Gruppe wollte angeblich Vodafone lediglich auf ein Sicherheitsproblem hinweisen, eine Veröffentlichung sei nicht geplant gewesen.
 
Zum Update:

Na das wäre ja zu schön um Wahr zu sein.

Wie edelmütig - Datenklau zwecks Sicherheitshinweis.

Wer´s glaubt wird seelig.
 
Warum solange die Daten nicht weiter verkauft werden, und wenn die das gesagt hätten würde Vodafone doch nicht glauben das die Server so unsicher sind
 
und Vodofone übernimmt auch noch Kabel Deutschland, Würde ich im Kartel sitzen würde ich die Vodafone Übernahme unterbinden!
Da kann man sich echt nur Sorgen machen um das so toll aufgebaute Kabelnetz und die Kunden die über die Jahre soviel Vertrauen in Kabel Deutschland aufgebaut haben!
Die armen KD Kunden tun mir jetzt schon leid! Schlimmer wird's ja vielleicht danach noch kommen, falls Vodafone die bestehe Struktur nicht beibehält, dann kommen erst die beschissenen Vodafone Router für jedermann, dann die zahlreichen Pannen und zum Schluss kommen dann auch noch die Sicherheitslecks...:rolleyes:
 
Ich bete das es so ist und die Daten nicht weiterverkauft wurden! Bin da Optimist muss ich gestehen.
 
Mich würde es am meisten interessieren, wie genau die es geschafft haben und welche Sicherheitssysteme bei Vodafone warum versagt haben, etc. Leider erfährt genau das, was ja das Interessanteste daran ist, nie -.- Schade eigentlich.
Das Ergebnis stufe ich auf "shit happens" ein. Vodafones Security hat halt versagt, da sollte es mal gehörig auf den Deckel geben und eine Überarbeitung her. Als ob solche Angriffe eine Seltenheit wären. Natürlich ist ein möglichst optimaler Schutz auch verdammt teuer und da versucht man natürlich zu sparen und das hat natürlich gewisse Folgen, wie man hier mal wieder sehen kann :lol:
 
WhiteShark schrieb:
N

Ruf mal bei einem Dienstleister an bei dem du per ELV zahlst -> Du kannst telefonisch deine Kontodaten ändern, das macht der Sachbearbeiter dann für dich.
Oder du erhälst eine Mahnung für etwas was längst bezahlt ist, der Sachbearbeiter fragt nach der Kontonummer, prüft ob von dort Zahlungen eingegangen sind und setzt den Fall auf erledigt (falls Geld eingegangen ist).
Gerade letzteres wäre mit Verschlüsselung nicht möglich, denn da müssten bei einer Abfrage alle Kontonummern entschlüsselt werden.
Bei mehreren Millionen Kunden dauert das dann keine Millisekunden, sondern mehrere Minuten.
Zumal dafür massiv viel Speicher notwendig wäre, oder aber die Abfrage aufgesplittet werden müsste.

Zumal auch in deiner Firma ein Insider an die Bankdaten kommen könnte. Gerade der Programmierer schaut einfach nach dem Algorithmus und holt sich die Daten.


An sich wird hier nur viel Lärm um nichts gemacht.
Zum Vergrößern anklicken....


Ich wüsste nicht warum die Kontodaten beim geschilderten Fall entschlüsselt werden müssten, vor allem warum alle Kontonummern entschlüsselt werden müssten.
Man müsste lediglich die Daten die einem der Kunde gibt mit dem selben Schlüssel verschlüsseln(du müsstest dann allerdings alle Daten mit demselben Schlüssel verschlüsseln) und überprüfen, ob diese verschlüsselten Daten irgendwo auftauchen. kurze Info: Bei einer asymetrischen Verschlüsselung kann man mit dem Schlüssel mit dem man verschlüsselt nicht (bzw. nur mit sehr hohem Aufwand) die Daten wieder entschlüsseln. Da hilft der Algorithmus auch nicht viel.
Der Sachbearbeiter könnte sich die natürlich aufschreiben, oder ein Trojaner die Daten vor dem verschlüsseln auf dem Bildschirm(bzw. wegen Sternchen(Ersatzzeichen) im Ram) abfangen oder bei der Übermittelung in ein anderes System(Bank). Trotzdem wäre es dann nicht mehr so einfach diese Daten zu stehlen.

Ob diese Daten schützenswert sind, muss jeder selbst entscheiden. Aber die Möglichkeiten gäbe es.
 
Was mich am meisten interessiert, warum die meine Kontonummer noch gespeichert haben. Habe einen der Briefe bekommen, in dem mich Voda darauf hinweist, dass meine Daten gestohlen wurden... Und ich bin seit mehreren Jahren keine Kunde mehr bei denen!!!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

nlr
News Namen und Adressen: Dell informiert über Abfluss von 49 Millionen Kundendaten
4 5 6
Antworten
111
Aufrufe
14.762
Kommando
K
T
News AshleyMadison.com: 37 Millionen Kundendaten von Seitensprung-Portal erbeutet
4 5 6
Antworten
104
Aufrufe
19.435
MaverickM
MaverickM
F
  • Gesperrt
Adobe wurde gehackt: 2,9 Millionen Kundendaten gestohlen.
Antworten
8
Aufrufe
1.647
AdoK
A
fethomm
News Adobe meldet 2,9 Millionen gestohlene Kundendaten
2 3
Antworten
46
Aufrufe
9.616
RayVIP
RayVIP
echoDave
  • Gesperrt
Datenklau bei Vodafone
Antworten
18
Aufrufe
2.452
AdoK
A
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz