>

Datenklau - WISO verschickt E-Mail mit Passwörtern

#
Wiso (ZDF) hat gestern Abend an scheinbar jede Menge Menschen eine E-Mail mit (echtem) Passwort verschickt, das auf einer chinesischen Seite aufgetaucht sein soll.

Stammen sollen die Daten wohl überwiegend von der Bewerberseite eines großen Wirtschaftsprüfers mit 3 Buchstaben mit großer Filiale in Frankfurt. Recruiten z.B. auch an der Uni FFM fleißig.

Wer sich dort beworben hat sollte also dringend sein Passwort ändern, so er es denn auch auf anderen Seiten benutzt hat.

http://www.lidzba.net/?p=67
#
Riecht nach dem Saftladen MLP.


Zur eigenen Absicherung: Das Wort "Saftladen" spieleglt hierbei meine eigene Meinung wieder und es handelt sich nur um eine Vermutung!
#
Na aber die sind ja auch lustig mit ihrer Umfrage:
"Haben Sie in den letzten Monaten eine Mail eines Finanzdienstleisters erhalten, in der sie zur Änderung Ihres Passworts oder der E-Mailadresse aufgefordert wurden?"

Die Antwortmöglichkeiten:
- Nein, bin bei keinem angemeldet
- Ja, von Monneybookers
- Ja, von Firstgate Click&Buy
- Ja, von Paypal
- Ja, von anderen
- Ja, von T-Pay
- Ja, von Paysafecard

...und wer diese nutzt und keine entsprechende Nachricht erhielt? Ich seh' schon kommen, wie die seltsam zustande gekommenen Ergebnisse in der Sendung ausgeschlachtet werden

Nichtsdestotrotz: Musste bereits meine Kreditkarte wegen Missbrauchs bei Ticketmaster (kartenhaus.de) ersetzen lassen und bin dahingehend sensibilisiert. Habe dennoch bereits vorher für E-Mails, Einkäufe usw. seperate Passwörter genutzt. Umständlich, kann sich jedoch auszahlen.

Und auf eintracht.de werden/wurden Passwörter der Nutzer eben auch unverschlüsselt gespeichert und sind/waren für Moderaten einzusehen, was nachdenklich stimmen sollten.
#
Die PW hier sind verschlüsselt gespeichert.
#
dyna schrieb:
Riecht nach dem Saftladen MLP.


Zur eigenen Absicherung: Das Wort "Saftladen" spieleglt hierbei meine eigene Meinung wieder und es handelt sich nur um eine Vermutung!


In der Beurteilung stimme ich Dir zu, aber MLP trifft diesmal keine Schuld, ist ja kein Wirtschaftsprüfer.

Wobei Du mit dem 'P' schon nicht schlecht liegst...
#
preserveTHEhonourOFffm schrieb:
Na aber die sind ja auch lustig mit ihrer Umfrage:
"Haben Sie in den letzten Monaten eine Mail eines Finanzdienstleisters erhalten, in der sie zur Änderung Ihres Passworts oder der E-Mailadresse aufgefordert wurden?"

Die Antwortmöglichkeiten:
- Nein, bin bei keinem angemeldet
- Ja, von Monneybookers
- Ja, von Firstgate Click&Buy
- Ja, von Paypal
- Ja, von anderen
- Ja, von T-Pay
- Ja, von Paysafecard

...und wer diese nutzt und keine entsprechende Nachricht erhielt? Ich seh' schon kommen, wie die seltsam zustande gekommenen Ergebnisse in der Sendung ausgeschlachtet werden

Nichtsdestotrotz: Musste bereits meine Kreditkarte wegen Missbrauchs bei Ticketmaster (kartenhaus.de) ersetzen lassen und bin dahingehend sensibilisiert. Habe dennoch bereits vorher für E-Mails, Einkäufe usw. seperate Passwörter genutzt. Umständlich, kann sich jedoch auszahlen.

Und auf eintracht.de werden/wurden Passwörter der Nutzer eben auch unverschlüsselt gespeichert und sind/waren für Moderaten einzusehen, was nachdenklich stimmen sollten.


ich habe von einem dieser unternehmen eine email bekommen mit der aufforderung mein pw zu ändern  
#
MLP ist keine Wirtschaftsprüfungsgeselschaft sondern vertickert Versicherungen und Geldanlagen.

Gemeint ist die Wirtschaftsprüfungsgsellschaft PWC, die inzwischen wohl auch eine eigene Stellungnahme hierzu abgegeben und den Datendiebstahl bestätigt hat.

Quelle: http://www.golem.de/0809/62204.html
#
Stellungnahme von PWC

Wie peinlich. Aber irgendwie:      
#
pipapo schrieb:
Die PW hier sind verschlüsselt gespeichert.


das ist dann aber neu...

Vor 3-4 Jahren konnte man mir ein Mod noch mein Passwort sagen...
#
Ich würde nie eine Online-Bewerbung schicken.

Es ist einfach zu unsicher.
Es ist längst bekannt, daß man auch ohne umfangreiche Hacker-Kenntnisse Schnittstellen anzapfen kann. Und eine solche Bewerbung hat wirklich alles, was man braucht. Adresse, Telefonnummern, Lebenslauf, Hobbies - alles was sich werberelevant ausschlachten läßt. Zwar nicht die Bankverbindung, aber sonst wirklich alles.
#
Nochmal die Internet-Sicherheit-Basics (Basics = weniger sollte es wirklich nicht sein):

Kostenloser Virenscanner

Kostenlose Personal Firewall

Kostenlose Passwort-Verwaltung
(Für alle wichtigen (also vor allem alle, die irgendwas mit Geld zu tun haben - ebay, paypal, amazon, Online-Baking, etc.) separate Passwörter benutzen, für Foren und anderes ist ein einheitliches Passwort ok, sofern man keinen gesteigerten Wert darauf legt. Besser ist es, sich alle Passwörter schlicht im Kopf zu behalten, aber wem das nicht möglich ist: Besser so mit sicherem Passwort und Schlüsseldatei, als ein Passwort mehrfach verwenden!)

Kostenlose Internet-Anonymiserung (Anti-Schäuble)

Kostenlose Datei- und Festplattenverschlüsselung (Anti-Schäuble 2)

Das sollte einigermaßen gegen alle 08/15-Übeltäter schützen - Phisher, Hacker, Polizisten, Viren und so weiter.

Und natürlich grundsätzlich benötigt: Gesunder Menschenverstand.
#
eintrachtfrankfurt2005 schrieb:
Ich würde nie eine Online-Bewerbung schicken.
Ich weiß ja nicht, wann du dich zuletzt in welchen Branchen beworben hast - nicht selten bist du mit dieser Herangehensweise bei Unternehmen schlicht von vornherein unten durch, da ausschließlich Online-Bewerbungen akzeptiert werden.
#
@untouchable: Gute Zusammenstellung.
Die meisten dieser Progs verwende ich selbst.
Sollten wirklich auf jedem Recher drauf sein.

Aber der wichtigste Tipp ist wohl der letztgenannte.  
Wer sich naiv im Netz bewegt, dem hilft die beste Software nichts.
Was nützt das beste Passwort, wenn man so wahnsinnig ist und es ausplaudert, wenn man quasi nur danach gefragt wird.

In dem Fall ist es ja nicht den Anwendern passiert, sondern den Datenverwaltern. Den (selbsternannten) Experten. Die Strafanzeige gegen unbekannt wirkt genauso hilflos, wie der PR-Superman von eBay, der damals bei der Javacode-Geschichte und einem Test immer nur gefragt hat: "Dürfen Sie das? Hat der Account-Inhaber das genehmigt?" Immer wenn's brenzlig wurde, hat er nur darauf verwiesen, daß das illegal ist, wenn jemand was böses mit dem Java-Code in den Auktionen macht.  
#
preserveTHEhonourOFffm schrieb:
eintrachtfrankfurt2005 schrieb:
Ich würde nie eine Online-Bewerbung schicken.
Ich weiß ja nicht, wann du dich zuletzt in welchen Branchen beworben hast - nicht selten bist du mit dieser Herangehensweise bei Unternehmen schlicht von vornherein unten durch, da ausschließlich Online-Bewerbungen akzeptiert werden.


Mag schon sein, aber ich halte es da mit der These: Wenn beide Seiten nicht bereit sind, etwas zu investieren, ist es nichts ernstes.

Wenn ein Unternehmen auf die hohen Gesamtportokosten verweist, dann sollten sie die Stellenausschreibung so spezifizieren, daß der Bewerberkreis entsprechend kleiner wird. Wäre für beide Seiten sinnvoll. Die Firmen müssen nicht mühsam aus tausenden Einsendungen raussuchen und viele Bewerber mit den Durchschnittsunterlagen würden sich Zeit sparen, weil sie eh nicht das Jobprofil erfüllen, welches die Firma zu blöd oder zu bequem war zu kommunizieren.

Ich hab schon einigen Leuten bei Bewerbungen geholfen. Und ich war nicht schlecht erstaunt, wie manche Firmen das gerade bei Praktika und anderen Masseneinsendungen handeln. Online muß man seine Zensuren und den ganzen anderen Krempel in vorgefertigte Formulare eintippen und dann macht ein automatisches Skript den Abgleich. Je nachdem, was man eingegeben hat, werden die Unterlagen zum Personaler durchgestellt oder aber man bekommt vom Roboter einen Absagebescheid.

Wenn Unternehmen nur Online-Bewerbungen akzeptieren, dann müssen die Firmen auch in Kauf nehmen, daß es schlechte Presse gibt, wenn mit diesen Daten "was passiert".

Und man braucht sich gar nix vorzumachen: PWC sind nicht die einzigen, denen die Kontrolle über ihre Bewerberdaten entglitten ist. So wie es ausschaut, haben ja Leute von Wiso eine Mail bekommen, die vor 3 Jahren oder länger sich da beworben haben. Man kann getrost davon ausgehen, daß diese ominösen Hacker schon seit 3 Jahren sich eingenistet haben und unbemerkt mitlesen. Wieder eine Menge Fragen: Wieso bemerken die das nicht? Warum werden Daten überhaupt unbegrenzt gespeichert?? Wer kommt jetzt wie für den Schaden auf???

Insofern bin ich vielleicht bei manchen Unternehmen durch, wenn ich Papier schicke. Aber die Firmen, die glauben, sie könnten mit meinen persönlichsten Daten machen was sie wollen, sind bei noch mehr unten durch.  

Ich persönlich finde solche Hack-Aktionen super. Sie bewirken vielleicht, daß manche mal von ihrem hohen Ross herunterkommen.  
#
eintrachtfrankfurt2005 schrieb:
Warum werden Daten überhaupt unbegrenzt gespeichert?? Wer kommt jetzt wie für den Schaden auf???
In meinem Fall (Kreditkartenmissbrauch bei Ticketmaster/kartenhaus.de) konnte ich froh sein, dass es sich um ein in den USA ansässiges Unternehmen handelte - laut heise wäre man nach deutscher Rechtssprechung überhaupt nicht dazu verpflichtet gewesen, dass Sicherheitsleck betroffenen Kunden zu melden, sondern hätte es stillschweigend abdichten können - in der Hoffnung, dass niemand hellhörig wird.

So viel zu den absolut weitreichenden und ausführlichen Datenschutzbestimmungen hierzulande

Wobei ich die Hysterie an anderer Stelle (Google Chrome) hingegen schon wieder absurd finde. Aber das kann ja jeder halten, wie er lustig ist.
#
Ihr könnt tun und lassen was ihr wollt. Solange der Staat selbst als Hehler für bekanntlich gestohlene Daten auftritt, oder einfach mal die Daten von millionen Kreditkarten überprüfen darf und sich dafür sogar noch feiern lässt, wird es in diesem Lande nie eine Sicherheit für die eigenen Daten geben.
#
untouchable schrieb:


Kostenlose Personal Firewall


Personal Firewalls bringen leider nichts - und können ein System sogar noch unsicherer machen, als vorher.

Gottseidank besitzen viele Leute mittlerweile einen Router. Auch wenn der nicht zwangsläufig über eine Firewall verfügt, werden nicht sämtliche Pakete wahllos weitergeleitet...
#
crusher schrieb:
Personal Firewalls bringen leider nichts - und können ein System sogar noch unsicherer machen, als vorher.


"Bringen nichts" stimmt so nicht. PFs bringen durchaus was: Sie kontrollieren zu aller erst mal die Programme auf dem Rechner. Malware, deren Signatur noch nicht in den aktuellen Virendaten des Virenscanners vorhanden ist kann so anhand ihrer Methodik erkannt werden. Sie kontrollieren, was die Prozesse machen (hier ist dann der gesunde Menschenverstand des Nutzers gefragt), wer in der Registrierung rumschreiben will oder verdeckt einen anderen Prozess. Und sie haben einen Paketfilter, dessen Aufgabe anständige Router allerdings tatsächlich viel besser machen, schon allein weil sie physisch zwischen dem PC und dem Internet stehen. Und sie hindern auch "nicht bösartige" Software am Nach-Hause-Telefonieren, wenn man das nicht will - allein das ist den Einsatz meiner Meinung nach schon wert.

Unsicherer machen können sie natürlich auch, schlicht weil es ein weiteres Programm ist, dessen eventuelle Lücken sich ein Angreifer zu Nutze machen kann - aber eine PF ist deutlich weniger komplex als ein Betriebssystem und daher weniger anfällig.

Gegen einen Angreifer, der wirklich was davon versteht hilft eine PF natürlich nicht. Aber das tut keines der oben genannten Programme.


Teilen