DHL Elektronik Transportschaden

[Arno Welzel]

Hartmut Kraus:

Am 09.11.18 um 19:20 schrieb Arno Welzel:
[...]
Wenn einmal die Logindaten bekannt sind, geht das sehr gut systematisch
und gezielt.

Wenn. Und wie sollen die "bekannt werden"? Das Mindeste bei

Indem der Provider gehackt wird:

<http://www.spiegel.de/netzwelt/netzpolitik/yahoo-alle-drei-milliarden-accounts-von-hackerangriff-2013-betroffen-a-1171101.html>

Oder durch Phishing, Social Engineering usw..

Zu glauben, E-Mail wäre per se sicher, nur weil man sich nicht
vorstellen kann, wie jemand an Zugangsdaten gelangt, ist reichlich naiv.


--
Arno Welzel
https://arnowelzel.de

 

[Arno Welzel]

Hartmut Kraus:

Am 10.11.2018 um 09:10 schrieb Volker Bartheld:
Wenn jedesmal nur 1€ bekäme, wenn eines der folgenden Statements fällt:

[...]
- FĂźr wen sollte meine Kommunikation interessant sein?

Ok, du kriegst den Euro von mir, wenn du mir sagst, welchen /Schaden/
fĂźr mich oder andere man mit dem /Inhalt/ meiner Mails anrichten kĂśnnte.

Stelle doch bitte den Inhalt deiner Mails irgendwo zum Download zur
Verfßgung, dann kann man mal gucken, was sich damit anstellen lässt.


--
Arno Welzel
https://arnowelzel.de

 

[Andreas Neumann]

Eric Bruecklmeier wrote:

Am 10.11.18 um 10:13 schrieb Andreas Neumann:

Das Gros der Kunden legt halt
selbst keinen Wert auf die eigenen Daten.

Genau: "nach langer Verweigerung habe ich letztes Jahr Whatsapp
installiert."

Es ist halt so schön praktisch und man bezahlt ja nur mit Daten...

Richtig, deswegen habe ich lange überlegt und das dann mit Bauchschmerzen
gemacht. Es war allerdings meine eigene Entscheidung.

Da fällt mir nur noch wenig ein. Du verwendest direkt Spionagesoftware,
überlegst aber, ob Du künftig noch bei Pollin einkaufen sollst...

Richtig. Der Vorfall bei Pollin war nicht meine Entscheidung, da hat eine
Klitsche ohne Wertschätzung meiner Daten über meinen Kopf hinweg
geschlampt. Darauf hatte ich keinerlei Einflussmöglichkeit.

Erstaunlich, dass du den Unterschied nicht bemerkst.

> ernsthaft?

Tatsächlich.
Deine schwarz-weisse Elfenbeinturmsicht fällt schon länger auf.
Meine Welt ist nicht schwarz-weiss, sondern trägt alle möglichen
Grauschattierungen, ich versuche das Beste daraus zu machen, was sicher
nicht immer funktioniert. Mir wäre es anders auch lieber, aber auch darauf
habe ich keinerlei Einflussmöglichkeit.

 

[Andreas Neumann]

Arno Welzel wrote:

"Lapidarer Hinweis" - nun ja:

https://www.heise.de/security/meldung/Elektronikversand-Pollin-bestaetigt-schwerwiegenden-Hacker-Angriff-3281324.html

Das Anschreiben von Pollin war schon etwas mehr als ein "lapidarer
Hinweis". Eine Telefonnummer und Kontaktadresse für Rückfragen stand
auch dabei.

"Unbeantwortet ließ Pollin, wie viele Kunden von dem Vorfall betroffen sind,
wann die Daten kopiert wurden und wie genau die Täter an die Daten gelangt
sind. Des weiteren ist ungeklärt, ob die Kunden-Passwörter im Klartext oder
gehasht gespeichert wurden."
Weiter:
"...zudem will das Unternehmen Strafanzeige stellen. Die technische Analyse
des Angriffs dauere weiter an."

Genau das meinte ich damit. Nur vages Drumherumgerede, keinerlei konkrete
Information. Von Pollin selbst habe ich seitdem nie wieder etwas zu dem
Thema gehört. Haben die überhaupt irgendwas geändert ausser die Passwörter
zurückzusetzen? Wurde Strafanzeige gestellt? Was ergab die technische
Analyse? Ich weiss es nicht, Pollin hat offenbar nichts dazu zu sagen.

Und was genau hätte ein "tut uns leid, wir haben wohl was übersehen und
deshalb konnten Hacker in unseren Server eindringen" geändert?

Siehe oben. Offene Informationspolitik sieht anders aus, selbst ein
simples "Sehr geehrter Kunde, es tut uns leid, wir haben nicht richtig auf
Ihre Daten aufgepasst" gefolgt von weiterer Aufklärung käme völlig anders
rüber als das "Ändern Sie dringend Ihr Passwort". Es ist offensichtlich
dass Pollin meine Daten nicht als hoch schützenswertes Gut ansieht.

Freilich ist Pollin hier nur eines von vielen traurigen Beispielen,
diese "Mirdochegal"-Einstellung zieht sich deutlich durch viele Firmen. Da
wird nur gehandelt wenn öffentlicher Druck da ist oder die Sache dann doch
zu peinlich wird.

Entscheidend ist doch, dass die Sicherheitsprobleme beseitigt sind und
sowas nicht nochmal passieren kann.

Sind sie das? Woher weißt du das?

Was mehr bringen würde: gesetzliche Regelungen, die in solchen Fällen
eine Geldstrafe für fahrlässigen Umgang mit vertraulichen Daten und die
Durchführung eines Sicherheits-Audit durch eine unabhängige Stelle
vorsehen - selbstverständlich auf Kosten des Unternehmens und mit der
Auflage, die beanstandeten Punkte in einer vorgegebenen Frist zu
beseitigen. Und falls das nicht möglich ist, wird der Online-Shop
dichtgemacht, bis die nötige Sicherheit hergestellt ist.

Allerdings.
[x] Dafür.

 

[Hartmut Kraus]

Am 10.11.18 um 11:48 schrieb Arno Welzel:

Hartmut Kraus:

Am 10.11.2018 um 09:10 schrieb Volker Bartheld:
Wie man mit den Datenskandalen der
letzten Zeit umgeht, bleibt natĂźrlich jedem selbst Ăźberlassen.

Naja, was sagst du denn dazu:

https://www.heise.de/newsticker/meldung/Wegen-DSGVO-Panne-Domainfactory-Kundendaten-waren-als-XML-Feed-offen-im-Netz-4107074.html

Selten so einen Schwachsinn gelesen, oder? Da behauptet so ein Spinner
in ihrem Kundenforum, er hätte auf die Art die Daten von 6 Kunden
"gehackt". Und da lassen die sich verrĂźckt machen - holen sich die
BehĂśrden ins Haus, warnen alle Kunden, nehmen das Forum vom Netz ...

Das hätten sie sicher nicht gemacht, wenn es nur ein "Spinner" gewesen
wäre.

Das /war/ ein Spinner. Der Verfasser des Heise - Artikels offensichtlich
auch. Keine Ahnung von Tuten und Blasen.

Nebenbei: DomainFactory gehĂśrt schon lange zu HostEurope und die
Administration wurde ebenfalls schon lange noch Osteuropa
"outgesourced".

Quatsch, DF hat nach wie vor seinen Hauptsitz in Imaning. Ich hab' in
den letzten Monaten oft genug mit ihnen telefoniert, und dabei kamen wir
auch auf die Fusion mit HostEurope zu sprechen. Die "gehĂśren" nicht
Hosteurope, beide sind gleichberechtigte Partner, sozusagen. Aber DF ist
sozusagen hier das "Aushängeschild" von HE.

Auch was da intern im Kundenbereich alles läuft, ist nur
noch gruselig

Nimm's mir nicht ßbel, als langjähriger DF-Kunde kann ich da nur sagen:
Du spinnst.

- teilweise laufen da noch uralten PHP-Versionen, die
schon lange keine Sicherheitsupdate mehr bekommen.
Was fĂźr eine "SicherheitslĂźcke" soll das denn nun gewesen sein? Mein

Zugang zu Kundendaten.

Wie gesagt: Das glaubt dieser Spinner doch selber nicht. Diesen "Zugang"
(zu den Daten von 6 Kunden, wie er im Forum behauptet hatte), hat er
genau daher, woher die meisten MĂśchtegerne - "Hacker" PasswĂśrter haben,
die sie angeblich geknackt haben, also irgendwoher.

Datenbankserver (MySQL - oh Verzeihung, das heißt ja jetzt "MariaDB")
meldet Ăźbrigens nicht einmal einen Fehler, wenn man in ein Feld vom
Typ "integer" was vom Typ "boolean" eintragen will - der speichert
"FALSE" als 0 und fertig. Damit war mir die Lust an weiteren
Experimenten vergangen.

Es geht aber nicht MySQL, sondern eine Schnittstelle von DomainFactory,
Ăźber die mal XML-Daten abrufen kann. Wie die im System dort abgelegt
sind, ist nicht dokumentiert, nur dass man sie als XML abrufen konnte.

Und das alles soll durch ein "umgekipptes Bit" in einer Datenbank
mĂśglich geworden sein. Wenn du diesen Schmarrn glaubst, kannst du einem
auch nur leid tun.

 

[Arno Welzel]

Andreas Neumann:

Volker Bartheld wrote:
[...]
Wie man mit den Datenskandalen der
letzten Zeit umgeht, bleibt natürlich jedem selbst überlassen.

Das ist für mich z.T. ein ungelöstes Problem. Ich bin noch immer am hadern
wie ich z.B. mit Pollin umgehen soll, deren Reaktion auf ihren Datenklau
fand ich extrem rücksichtslos und Kundenverachtend. Ein lapidarer Hinweis,
man möchte sein Passwort ändern, das war's. Ich hätte mindestens eine
Entschuldigung, vielleicht einen Gutschein erwartet.

"Lapidarer Hinweis" - nun ja:

<https://www.heise.de/security/meldung/Elektronikversand-Pollin-bestaetigt-schwerwiegenden-Hacker-Angriff-3281324.html>

Das Anschreiben von Pollin war schon etwas mehr als ein "lapidarer
Hinweis". Eine Telefonnummer und Kontaktadresse für Rückfragen stand
auch dabei.

Und was genau hätte ein "tut uns leid, wir haben wohl was übersehen und
deshalb konnten Hacker in unseren Server eindringen" geändert?
Entscheidend ist doch, dass die Sicherheitsprobleme beseitigt sind und
sowas nicht nochmal passieren kann.

> Ich habe seitdem nichts mehr dort gekauft und bin noch unschlüssig.

Sofern Pollin weiterhin an Kunden interessiert ist, werden sie
hoffentlich aus dem Fall gelernt haben.

Mir ist klar dass ich damit in der extremen Minderheit bin und nichts an der
Front bewirke, genau deswegen können sich solche Firmen ja derlei
sorgenlosen Umgang mit Kundendaten erlauben. Das Gros der Kunden legt halt
selbst keinen Wert auf die eigenen Daten.

Was mehr bringen würde: gesetzliche Regelungen, die in solchen Fällen
eine Geldstrafe für fahrlässigen Umgang mit vertraulichen Daten und die
Durchführung eines Sicherheits-Audit durch eine unabhängige Stelle
vorsehen - selbstverständlich auf Kosten des Unternehmens und mit der
Auflage, die beanstandeten Punkte in einer vorgegebenen Frist zu
beseitigen. Und falls das nicht möglich ist, wird der Online-Shop
dichtgemacht, bis die nötige Sicherheit hergestellt ist.

--
Arno Welzel
https://arnowelzel.de

 

[Hartmut Kraus]

Am 10.11.18 um 11:37 schrieb Arno Welzel:

Hartmut Kraus:

Am 09.11.18 um 19:20 schrieb Arno Welzel:
[...]
Wenn einmal die Logindaten bekannt sind, geht das sehr gut systematisch
und gezielt.

Wenn. Und wie sollen die "bekannt werden"? Das Mindeste bei

Indem der Provider gehackt wird:

http://www.spiegel.de/netzwelt/netzpolitik/yahoo-alle-drei-milliarden-accounts-von-hackerangriff-2013-betroffen-a-1171101.html

Von solchen Reißern glaube ich immer höchstens die Hälfte. Von dieser
Spinne Ăźberhaupt nichts, wie gesagt:

<ps665b$k46$1@news.albasani.net>

Am 27.08.18 um 23:14 schrieb Hartmut Kraus:> Am 27.08.2018 um 11:16
schrieb *der Domainfactory - Support*:

Sehr geehrter Herr Kraus,
vielen Dank fĂźr Ihre E-Mail.
Wir haben Ihre E-Mail erhalten, diese befindet sich in unserem Hause
in Bearbeitung. Wir haben diese an die entsprechende Abteilung
weitergeleitet, wo man sich schnellstmĂśglich um Ihr Anliegen kĂźmmern
wird. Bitte haben Sie Verständnis dafßr, dass dies einige Zeit in
Anspruch nehmen kann.

Nun, steht das Thema bei Ihren Fachleuten Ăźberhaupt zur Debatte?
Gerade nach dem jĂźngsten "Datensicherheits" - Zoff - was dieser
Spinner im
Forum behauptet hat, glaubt er zwar selber nicht, aber trotzdem fĂźhlten
Sie sich genĂśtigt, sich die BehĂśrden ins Haus zu holen, das Forum zu
deaktivieren, die Kunden zu warnen ...

Da ging's mr darum - vielleich kann hier einer was dazu sagen:

Ich habe meine Domain hkraus.eu gekriegt, indem ich das "Paket
ManagedHosting Basic" bei "domainfactory" gemietet habe:

https://www.df.eu/de/webhosting/

Aber dann zugegriffen - sowas hatte ich ja schon schon lange gesucht:
Ein vollwertiger Root-Server fĂźr sage und schreibe 2ct/h - nennt sich
bei domainfactory "jiffybox". Nach anfänglichen Problemen (dass die
Root-Partition - eindeutiger Fehler im Kundenmenü - /defaultmäßig/ "read
only" gemountet wird, muss man natĂźrlich wissen, sich sonst wundern,
dass er auch mit root-Zugriff schon beim Booten hängenbleibt) läuft
die wie Hanne (hab' mir auch MSQL-Server und Apache drauf installiert)
.... Und Zugriff auch mit grafischen Programmen (wie MYSQL-Workbench) -
staune, was da alles geht, man muss nur wissen wie ... Das Problem nun:
Wie kann ich meine Domain darauf umziehen? Mit den Nameserver -
Einstellungen ginge das bestimmt - habe da erst mal *.hkraus.eu auf die
IP meiner "JiffyBox" gelegt ... Diese MĂśglichkeit bietet das KundenmenĂź
auch fĂźr meine Domain an ("Editieren"):

http://hkraus.eu/kundenmenu.png

Also Fragen:

1. Der Nameserver von DF ist ja nicht der einzige im Netz - wie teilt
man das den anderen mit? Oder ist durch die Einstellung "Nameserver fĂźr
diese Domain = Domainfactory-Nameserver" festgelegt, also "netzbekannt",
dass nur der angesprochen wird, von jedem User irgendwo im großen weiten
Netz? (Schwer vorstelllbar)

2. Wenn ich also jetzt "hkraus.eu" auf meine "Jiffybox" lege - ok, aber
wenn ich dann mein "Basic" - Paket bei DF kĂźndige - hm, ob da nicht
"automatisch" meine Domain verschwindet?

Der Support von DF schweigt sich zu dem Thema aus - verständlich, die
wollen ihre EinkĂźnfte behalten. Und neue hinzugewinnen - Anleitungen zum
Domainumzug findet man auch da, aber eben nur von einem anderen Hoster
zu DF. Wie bei allen Hostern - von irgendwoher zu ihnen, klar.

 

[Arno Welzel]

Hartmut Kraus:

Am 10.11.2018 um 09:10 schrieb Volker Bartheld:
Wie man mit den Datenskandalen der
letzten Zeit umgeht, bleibt natĂźrlich jedem selbst Ăźberlassen.

Naja, was sagst du denn dazu:

https://www.heise.de/newsticker/meldung/Wegen-DSGVO-Panne-Domainfactory-Kundendaten-waren-als-XML-Feed-offen-im-Netz-4107074.html

Selten so einen Schwachsinn gelesen, oder? Da behauptet so ein Spinner
in ihrem Kundenforum, er hätte auf die Art die Daten von 6 Kunden
"gehackt". Und da lassen die sich verrĂźckt machen - holen sich die
BehĂśrden ins Haus, warnen alle Kunden, nehmen das Forum vom Netz ...

Das hätten sie sicher nicht gemacht, wenn es nur ein "Spinner" gewesen
wäre. Nebenbei: DomainFactory gehÜrt schon lange zu HostEurope und die
Administration wurde ebenfalls schon lange noch Osteuropa
"outgesourced". Auch was da intern im Kundenbereich alles läuft, ist nur
noch gruselig - teilweise laufen da noch uralten PHP-Versionen, die
schon lange keine Sicherheitsupdate mehr bekommen.

> Was fĂźr eine "SicherheitslĂźcke" soll das denn nun gewesen sein? Mein

Zugang zu Kundendaten.

Datenbankserver (MySQL - oh Verzeihung, das heißt ja jetzt "MariaDB")
meldet Ăźbrigens nicht einmal einen Fehler, wenn man in ein Feld vom
Typ "integer" was vom Typ "boolean" eintragen will - der speichert
"FALSE" als 0 und fertig. Damit war mir die Lust an weiteren
Experimenten vergangen.

Es geht aber nicht MySQL, sondern eine Schnittstelle von DomainFactory,
Ăźber die mal XML-Daten abrufen kann. Wie die im System dort abgelegt
sind, ist nicht dokumentiert, nur dass man sie als XML abrufen konnte.


--
Arno Welzel
https://arnowelzel.de

 

[Eric Bruecklmeier]

Am 10.11.2018 um 12:35 schrieb Andreas Neumann:

Eric Bruecklmeier wrote:

Am 10.11.18 um 10:13 schrieb Andreas Neumann:

Das Gros der Kunden legt halt
selbst keinen Wert auf die eigenen Daten.

Genau: "nach langer Verweigerung habe ich letztes Jahr Whatsapp
installiert."

Es ist halt so schön praktisch und man bezahlt ja nur mit Daten...

Richtig, deswegen habe ich lange überlegt und das dann mit Bauchschmerzen
gemacht. Es war allerdings meine eigene Entscheidung.

Da fällt mir nur noch wenig ein. Du verwendest direkt Spionagesoftware,
überlegst aber, ob Du künftig noch bei Pollin einkaufen sollst...

Richtig. Der Vorfall bei Pollin war nicht meine Entscheidung, da hat eine
Klitsche ohne Wertschätzung meiner Daten über meinen Kopf hinweg
geschlampt. Darauf hatte ich keinerlei Einflussmöglichkeit.

Erstaunlich, dass du den Unterschied nicht bemerkst.

Es ging mir um diese Aussage von Dir:

"Das Gros der Kunden legt halt selbst keinen Wert auf die eigenen Daten."

die Dich ja ganz offensichtlich mit einschließt...

oder jeder dieser Kunden hat auch seinen eigenen guten Grund, warum er
diese oder jene Kröte schluckt...

ernsthaft?

Tatsächlich.
Deine schwarz-weisse Elfenbeinturmsicht fällt schon länger auf.

Tja, was soll ich dazu sagen... Wenn Du meinst.

Meine Welt ist nicht schwarz-weiss, sondern trägt alle möglichen
Grauschattierungen, ich versuche das Beste daraus zu machen, was sicher
nicht immer funktioniert. Mir wäre es anders auch lieber, aber auch darauf
habe ich keinerlei Einflussmöglichkeit.

Ich finde es reichlich (mal vorsichtig ausgerückt) skurril über einen
Boykott eines Versenders nachzudenken, weil dem ein Fehler unterlaufen
ist und weil er sich meinetwegen ungeschickt verhalten hat und
gleichzeitig sich freiwillig Software zu installieren, deren einziger
Zweck das Ausspähen von Daten ist - das paßt in meiner Welt tatsächlich
nur schwer zusammen...

 

[Hartmut Kraus]

Am 09.11.18 um 14:17 schrieb Arno Welzel:
> Ich wĂźrde das nicht "Dummheit" sondern eher "Unwissenheit" nennen.

Erklärst du mr mal den Unterschied?

 

[Hartmut Kraus]

Am 10.11.18 um 12:49 schrieb Hergen Lehmann:

Am 10.11.18 um 11:57 schrieb Arno Welzel:

Und was genau hätte ein "tut uns leid, wir haben wohl was ßbersehen und
deshalb konnten Hacker in unseren Server eindringen" geändert?
Entscheidend ist doch, dass die Sicherheitsprobleme beseitigt sind und
sowas nicht nochmal passieren kann.

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden (ist
das geschehen?), so das sie KennwÜrter ändern und auf verdächtige
Kontobewegungen achten kĂśnnen.

Ja, Kontenbewegungen - genau so'n Schwachsinn. Bitte, hier meine Daten:

MariaDB [melina]> select iban, bic from accounts where name = 'Privat
Sparkasse FFB';
| DE47700530700031296338 | BYLADEM1FFB |

Nun bewege mal was auf meinem Konto. Sorry - wolltte sagen: Auf mein
Konto - 'runter ist etwas schwieriger.

 

[Hartmut Kraus]

Am 10.11.18 um 12:44 schrieb Eric Bruecklmeier:

Ich finde es reichlich (mal vorsichtig ausgerĂźckt) skurril Ăźber einen
Boykott eines Versenders nachzudenken, weil dem ein Fehler unterlaufen
ist und weil er sich meinetwegen ungeschickt verhalten hat und
gleichzeitig sich freiwillig Software zu installieren, deren einziger
Zweck das Ausspähen von Daten ist - das paßt in meiner Welt tatsächlich
nur schwer zusammen...

TrĂśste dich, in meiner auch.

 

[Hergen Lehmann]

Am 10.11.18 um 12:24 schrieb Andreas Neumann:

"Unbeantwortet ließ Pollin, wie viele Kunden von dem Vorfall betroffen sind,
wann die Daten kopiert wurden und wie genau die Täter an die Daten gelangt
sind. Des weiteren ist ungeklärt, ob die Kunden-Passwörter im Klartext oder
gehasht gespeichert wurden."
Weiter:
"...zudem will das Unternehmen Strafanzeige stellen. Die technische Analyse
des Angriffs dauere weiter an."

Genau das meinte ich damit. Nur vages Drumherumgerede, keinerlei konkrete
Information.

Wenn sie tatsächlich Strafanzeige gestellt haben, DÜRFEN sie nicht
öffentlich über Details reden, bis die Ermittlungen abgeschlossen sind.

 

[Hergen Lehmann]

Am 10.11.18 um 11:57 schrieb Arno Welzel:

Und was genau hätte ein "tut uns leid, wir haben wohl was übersehen und
deshalb konnten Hacker in unseren Server eindringen" geändert?
Entscheidend ist doch, dass die Sicherheitsprobleme beseitigt sind und
sowas nicht nochmal passieren kann.

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden (ist
das geschehen?), so das sie Kennwörter ändern und auf verdächtige
Kontobewegungen achten können.

Der Glaube, das "sowas nicht (nochmal) passieren kann", ist der erste
Schritt zum nächsten Vorfall. Absolute Sicherheit gibt es nicht, nur
Wachsamkeit.

Ich habe seitdem nichts mehr dort gekauft und bin noch unschlüssig.

Sofern Pollin weiterhin an Kunden interessiert ist, werden sie
hoffentlich aus dem Fall gelernt haben.

So oder so - es gibt wahrscheinlich hunderttausende Shops mit
Sicherheitslücken. Niemand garantiert, das der gewählte
Alternativ-Lieferant nicht die nächste Zielscheibe ist. Niemand
garantiert, das dieser seiner Kunden ebenfalls sofort informiert und
nicht etwa versucht, den Vorfall unter dem Tisch zu halten.

Was mehr bringen würde: gesetzliche Regelungen, die in solchen Fällen
eine Geldstrafe für fahrlässigen Umgang mit vertraulichen Daten und die
Durchführung eines Sicherheits-Audit durch eine unabhängige Stelle
vorsehen - selbstverständlich auf Kosten des Unternehmens und mit der
Auflage, die beanstandeten Punkte in einer vorgegebenen Frist zu
beseitigen. Und falls das nicht möglich ist, wird der Online-Shop
dichtgemacht, bis die nötige Sicherheit hergestellt ist.

Noch mehr Bürokratie würde nur zu einer weiteren Marktbereinigung
zugunsten der Großen führen.
Welche zwar auch nicht per se besser sind, aber Strafen aus der
Portokasse zahlen können, mit Lobbyismus dafür sorgen können, das
Gesetze zu ihren Gunsten ausfallen, und bei Vorfällen stets beteuern
können, das ja "nur ein kleiner Teil der Kunden betroffen" gewesen sei -
auch wenn das dann immer noch weit mehr sind, als der Kleine überhaupt
hatte.

Hergen

 

[Hartmut Kraus]

Am 10.11.18 um 11:42 schrieb Arno Welzel:

Hartmut Kraus:

Am 10.11.2018 um 09:10 schrieb Volker Bartheld:
Wenn jedesmal nur 1€ bekäme, wenn eines der folgenden Statements fällt:

[...]
- FĂźr wen sollte meine Kommunikation interessant sein?

Ok, du kriegst den Euro von mir, wenn du mir sagst, welchen /Schaden/
fĂźr mich oder andere man mit dem /Inhalt/ meiner Mails anrichten kĂśnnte.

Stelle doch bitte den Inhalt deiner Mails irgendwo zum Download zur
Verfßgung, dann kann man mal gucken, was sich damit anstellen lässt.

BitteschĂśn:

Am 08.11.18 um 09:53 schrieb Hartmut Kraus

Дорогая ***,

как у тебя сегодня дела?

Я также работаю с переводчиком Google, но я не полагаюсь на него, но
исправляю как можно лучше. Он также делает плохие ошибки - прежде всего,
он почти всегда делает «ты» -> «вы» - ужасно. Я исправляю все, что
могу. И я поправляюсь. Тем не менее, все еще есть гарантированные
ошибки. Они уже привели к большим недоразумениям. Поэтому, пожалуйста,
исправьте. Но не только буквально, но и аналогично. Ну тогда:

[...]

Дорогие приветы

ТвОК Hartmut

Nu mach' dir was draus.

Sorry, alles andere muss unter uns bleiben, wie so ziemlich alles aus
unseren Mails. Nur noch so viel: Mein Schulrussisch von der 5. Klasse
bis zum 2. Semester - auch wenn's lange her ist - hat schon mehr genutzt
als ihr Uni - Deutsch. Wenn's nicht zu persÜnlich wäre, wßrde ich ja
gerne mal Kostproben des putzigen Google - Deutschs liefern. Das muss
ich mir Ăśfters noch mal Ăźbersetzen - in ein Deutsch, das vom Satzbau und
von der Grammatik her ein sinnerfassendes Lesen ermĂśglicht.)

 

[Hartmut Kraus]

Am 10.11.18 um 10:13 schrieb Andreas Neumann:

Ich hätte mindestens eine
Entschuldigung, vielleicht einen Gutschein erwartet.

Jedem Kunden was gutschreiben, das wäre aber die sichere Pleite.

 

[Andreas Neumann]

Hergen Lehmann wrote:

Am 10.11.18 um 12:24 schrieb Andreas Neumann:

"Unbeantwortet ließ Pollin, wie viele Kunden von dem Vorfall betroffen
sind, wann die Daten kopiert wurden und wie genau die Täter an die Daten
gelangt sind. Des weiteren ist ungeklärt, ob die Kunden-Passwörter im
Klartext oder gehasht gespeichert wurden."
Weiter:
"...zudem will das Unternehmen Strafanzeige stellen. Die technische
Analyse des Angriffs dauere weiter an."

Genau das meinte ich damit. Nur vages Drumherumgerede, keinerlei konkrete
Information.

Wenn sie tatsächlich Strafanzeige gestellt haben, DÜRFEN sie nicht
öffentlich über Details reden, bis die Ermittlungen abgeschlossen sind.

Jetzt mal halblang. Ich wollte keine Einsicht in die Ermittlungsakten,
sondern in diesem speziellen Punkt einfach mal nur wissen, ob sie denn
tatsächlich Strafanzeige gestellt haben.
Oder das nur "wollten" aber dann doch nur im gut gepolsterten Chefsessel
sitzen blieben.
Aber eigentlich ging es nicht speziell um diesen Punkt, sondern um die
gesamte Informationspolitik, und die war und ist unterirdisch, exemplarisch
an diesem Beispiel dargestellt.

 

[Hartmut Kraus]

Am 10.11.18 um 14:04 schrieb Andreas Neumann:

Hergen Lehmann wrote:

Am 10.11.18 um 12:24 schrieb Andreas Neumann:

"Unbeantwortet ließ Pollin, wie viele Kunden von dem Vorfall betroffen
sind, wann die Daten kopiert wurden und wie genau die Täter an die Daten
gelangt sind. Des weiteren ist ungeklärt, ob die Kunden-PasswÜrter im
Klartext oder gehasht gespeichert wurden."
Weiter:
"...zudem will das Unternehmen Strafanzeige stellen. Die technische
Analyse des Angriffs dauere weiter an."

Genau das meinte ich damit. Nur vages Drumherumgerede, keinerlei konkrete
Information.

Wenn sie tatsächlich Strafanzeige gestellt haben, DÜRFEN sie nicht
Ăśffentlich Ăźber Details reden, bis die Ermittlungen abgeschlossen sind.

Jetzt mal halblang. Ich wollte keine Einsicht in die Ermittlungsakten,
sondern in diesem speziellen Punkt einfach mal nur wissen, ob sie denn
tatsächlich Strafanzeige gestellt haben.
Oder das nur "wollten" aber dann doch nur im gut gepolsterten Chefsessel
sitzen blieben.
Aber eigentlich ging es nicht speziell um diesen Punkt, sondern um die
gesamte Informationspolitik, und die war und ist unterirdisch, exemplarisch
an diesem Beispiel dargestellt.

Eine Frage hätte ich allerdings: Wieviel "Schuld" triff eigentlich
Pollin selber? Die hosten ihren Shop doch garantiert nicht selber ...

 

[Hergen Lehmann]

Am 10.11.18 um 14:04 schrieb Andreas Neumann:

Hergen Lehmann wrote:
Wenn sie tatsächlich Strafanzeige gestellt haben, DÜRFEN sie nicht
öffentlich über Details reden, bis die Ermittlungen abgeschlossen sind.

Jetzt mal halblang. Ich wollte keine Einsicht in die Ermittlungsakten,

Ein Posting höher wolltest du noch wissen
- wie viele Kunden betroffen sind,
- wann die Daten kopiert wurden,
- wie die Täter an die Daten gelangt sind,
- ob die Passwörter als Hash gespeichert sind.

Punkt 1-3 sind Informationen, die den Tätern sehr wertvolle Hinweise auf
den Stand der Ermittlungen liefern würden.
Punkt 4 ist nichtssagend, denn mit dem falschen Algorithmus sind
durchaus auch Hashes rückführbar. Informationen über den Algorithmus
wiederum würden den Tätern wertvoll Hinweise...

sondern in diesem speziellen Punkt einfach mal nur wissen, ob sie denn
tatsächlich Strafanzeige gestellt haben.

Auch das geht dich letzten Endes nichts an. Wenn du willst, kannst du
aber selbst Strafanzeige stellen, dann erhältst du zumindest Einblick in
diesen Aspekt der Ermittlungen.

Aber eigentlich ging es nicht speziell um diesen Punkt, sondern um die
gesamte Informationspolitik, und die war und ist unterirdisch, exemplarisch
an diesem Beispiel dargestellt.

Geschmackssache. Sie haben die Kunden von sich aus informiert, das ist
schon mehr als in manchen anderen Fällen geschah.

Hergen

 

[Hergen Lehmann]

Am 10.11.18 um 13:20 schrieb Hartmut Kraus:

Entscheidend ist vor allem, das die Kunden zeitnah gewarnt werden (ist
das geschehen?), so das sie KennwÜrter ändern und auf verdächtige
Kontobewegungen achten kĂśnnen.

Ja, Kontenbewegungen - genau so'n Schwachsinn.

Kein Schwachsinn, spätestens wenn es um Kreditkarten geht.