Es gibt mal wieder einen neuen Leak. Die Handelsplätze der genannten Unternehmen sind diesmal betroffen. Im Umlauf sind somit Millionen Kundendaten z.T. inkl. Bankverbindungen.
Quelle: wortfilter.de/modern-solution-datenleck-alle-plattform-endkundendaten-einsehbar/
Quelle: wortfilter.de/modern-solution-datenleck-alle-plattform-endkundendaten-einsehbar/
Bei Banken verliere ich in letzter Zeit sehr häufig den Glauben an die IT in Deutschland.
Jüngst konnte ich nur ein Passwort anlegen, das aus 6 Zeichen besteht. Wobei Zeichen für "numbers only" steht.
Da fallen mir beim besten Willen nur noch Beleidigungen ein.
Manchmal waere ein strenger bewachtes Internet, wie die Chinesen es haben, besser. Dann kann jeder Verkehr von A bis Z nachverfolgt werden und damit solcher Scheiss mit maximalster Haerte gegen den Hacker verfolgt werden. Tja... "Freiheit" "kostet" halt.
Trick 17: Als Händler noch mehr Geld sparen und die Daten von Anfang an offenlegen, dann braucht auch niemand mehr die Server knacken.
Ich denke, es geht um die Datenbank-Connection an sich und nicht um im Klartext gespeicherte Passwörter in der Datenbank
Ein Script muss das Passwort ja im Klartext im Quellcode haben. Und so wie der Screenshot aussieht, konnte man dieses Script aufrufen.
Ich habe mit meiner Bank (!) schon Diskussionen darüber führen müssen, warum Sonderzeichen nicht erlaubt sind und das Login nur eine sehr begrenzte Zeichenzahl hat. Seit 10 Jahren keine Besserung - Hauptteil meines Geldes habe ich abgezogen. Aber wahrscheinlich ist denen das sogar recht.
Bei Banken verliere ich in letzter Zeit sehr häufig den Glauben an die IT in Deutschland.
Jüngst konnte ich nur ein Passwort anlegen, das aus 6 Zeichen besteht. Wobei Zeichen für "numbers only" steht.
Da fallen mir beim besten Willen nur noch Beleidigungen ein.
123456
Habe gerade bisher auch keine seriösen Quellen zu dem Leak gefunden. Also erst mal abwarten. Am Ende hat Mark Steier mal wieder Streit mit irgendwelchen Firmen und versucht sie jetzt durch den Dreck zu ziehen. Wäre schließlich nicht das erste Mal.
"wieder"? Wo hat man denn als Deutscher Geld bekommen, wenn ich fragen darf? Bei MasterCard Priceless Specials gab's bis heute keine müde Mark, obwohl 2 Jahre vergangen sind.
Für Mastercard gabs Geld über RightNow
Bei welchem Leak hast Du Geld erhalten und über welchen der Dienstleister?
Jemand schon bzgl. Scalable Capital Geld erhalten?
In diesem Zusammenhang: Habt ihr schon mal das Login-Verfahren: mit dem Handy QR-Code scannen vom Bildschirm bei der ING ausprobiert? Login hat bei mir beim ersten Mal auf Anhieb geklappt, obwohl der zweite am Bildschirm generierte nicht richtig erkannt wurde. Es erschien zwar kurz die entsprechende Fehlermeldung - im Konto war ich dennoch drin.
Echt? Wieviel?
Das ist kein spam, lediglich eine Werbemail pro akkount.
Was mich mehr wundert ist, dass die "News" vom Donnerstag ist, es bis heute aber keine zweite Seite gibt, die darüber berichtet. Riecht für mich auch nach Fake.
Das erzählt Heimathorst auch immer. In der Praxis stellst du damit all jene unter Generalverdacht, die damit eigentlich "geschützt" werden sollen.
Diejenigen, die krumme Dinger abziehen, wird das kaum stören. Es gibt immer Mittel und Wege.
Außerdem hat sich keines dieser größeren Unternehmen irgendwo dazu geäußert, was bei mindestens einen Unternehmen in der Auswahl wohl der Fall hätte sein können.
Klick mich!
Hab beim Facebook Leak und bei pricelessspecials was bekommen. Habs über rightnow gemacht. eugd.org/sch…187 die machen das auch
In Händlerkreisen hat der Diensteanbieter sowie die ersten Marktplätze (Otto, Kaufland) zunächst die angeschlossenen Händler informiert. Diese müssen nun die jeweiligen Datenschutzbehörden innerhalb von 72h ab Kenntnisnahme informieren. Danach wird analysiert welche Kundendaten konkret betroffen sind und die entsprechenden Kunden dann informiert (so soll es zumindest sein).
In der Zwischenzeit wurde der Dienstanbieter modernsolution.net/ gestern erneut gehackt und die Hacker konnten sich wieder Zugang zur Datenbank verschaffen! Die Seite und Datenbank wurden nun offline genommen.
Weitere Infos dazu: Hier
Oh. Mein. Gott.
Ich habe zwar immer noch Restzweifel bezüglich der Quelle, aber wenn sich das bestätigt wird das hoffentlich teuer.
wortfilter.de/jtl…ct/
Wenn das alles so war, wie es dort steht, kann man nur noch mit dem Kopf schütteln.
Anscheinend stand das Passwort zur MySQL Datenbank fest im Code einer Software zur Anbindung des Systems von Modern Solution. Kein Problem das mit einem Decompiler auszulesen.
In der Zwischenzeit wurde eine neue Version veröffentlicht, deren Code obfuscated wurde. Auch das ist in den meisten Fällen umkehrbar und damit keine wirksame Sicherheitsmaßnahme.
Auch kritisch zu betrachten: Es wurde eine MySQL Datenbankverbindung übers Internet aufgebaut. Grundsätzlich ist die MySQL-Datenbankverbindung im Standard nicht verschlüsselt. Das kann man allerdings konfigurieren. Lt. dem Artikel wurde das erst jetzt nachgerüstet.
So wie es aussieht, wurde der DB-User nicht spezifisch für den Händler erstellt, sondern konnte auf alle Datenbanken aller Händler/Partner zugreifen.
Alles in allem ist das technische Konzept der Software für diesen Anwendungsfall (um es noch nett zu sagen) sehr schlecht geeignet.
Klingt nach Projektarbeit im Informatik Leistungskurs...
Z.B. Händler verkauft über Partner einen Artikel, Kunde kauft diesen Artikel. Die Bestelldaten werden dann von dem Partner an Modern Solution übermittelt und Händler kann die Daten dort abrufen.
Meine Vermutung:
Das würde bedeuten, dass wenn man bei den Partnern (wie es z.B. bei Otto möglich ist) direkt einkauft und nicht bei einem Händler, sollten die Daten nicht dorthin übermittelt worden sein. Außerdem denke (hoffe) ich nicht, dass von den Partnern Passwörter der Endkunden übermittelt wurden. Ausschließen lässt sich das natürlich nicht. Die üblichen Adressdaten, Telefonnummer, E-Mail und evtl. Bankdaten wären aber vmtl. dabei.
Auch möglich ist, dass ein Partner verschiedene Systeme zur Übermittlung der Daten verwendet. In dem Fall wären nur einzelne Händler und dessen Kunden auf den Portalen vom Datenleck betroffen.
Trotzdem gilt die übliche Vorsicht -> Passwörter ändern, bei E-Mails aufpassen usw.
Wie schon gesagt, ist das nur meine Vermutung, dass das so abläuft und nicht bestätigt.