Datenleck bei Domainfactory
- Thread starter killerbees19
- Start date
D
Deleted member 11740
Guest
Ganz toll ist daran, dass man das als Kunde über Dritte erfährt und nicht vom Dienstleister selbst mitgeteilt bekommt. Domainfactory, schämt euch!
Auf der einen Seite geht uns der "Gesetzgeber" tierisch mit neuen Gesetzen auf die Nerven, auf der anderen Seite können Unternehmen immer noch grob fahrlässig mit Daten Dritter hantieren. Das muss unterbunden werden. Dafür brauchen wir mal endlich nationale Gesetze, die dann auch angewandt werden.
Auf der einen Seite geht uns der "Gesetzgeber" tierisch mit neuen Gesetzen auf die Nerven, auf der anderen Seite können Unternehmen immer noch grob fahrlässig mit Daten Dritter hantieren. Das muss unterbunden werden. Dafür brauchen wir mal endlich nationale Gesetze, die dann auch angewandt werden.
killerbees19
Member
Aber Premium-Service ist das schon, wenn man im Kundenforum das eigene Telefonpasswort mitgeteilt bekommt, an das man sich nicht mehr zu 100% erinnern kann. Und das sogar für beide Kundennummern, auch die, die man seit 8 Jahren nicht mehr benutzt.
*scnr*
*scnr*
Schade, dass keine Details bekannt sind. Wie konnte er den Server rooten? Welche Sicherheitslücken hat er ausgenutzt? Wie ist es möglich, dass man von einem gehackten Webhosting Server weiter ins interne Netz zur Kundendatenbank kommt? Dürfte nicht nur die andere Richtung funktionieren?
killerbees19
Member
Frag "ihn" mal auf Twitter. Der scheint noch immer sehr aktiv zu diskutieren... 
Nun hat Domainfactory erstes Statement auf der Statusseite veröffentlicht...
http://status.df.eu/
http://status.df.eu/
D
Deleted member 15972
Guest
Na toll, ich war vor Jahren mal Kunde bei df und bin gespannt, ob meine Daten damals auch wirklich gelöscht wurden oder jetzt auch Teil dieses "Datenreichtums" sind.
Interessant wäre auch, wenn die Erklärung so stimmt und er sich tatsächlich von einem kompromittierten Server aus durch das interne Netz hangeln konnte.
Interessant wäre auch, wenn die Erklärung so stimmt und er sich tatsächlich von einem kompromittierten Server aus durch das interne Netz hangeln konnte.
derWachert
Member
Ich hasse diese Aussage die einfach jeder als Phrase so oder so ähnlich bei sowas in den Raum wirft:
"Der Schutz der Daten unserer Kunden steht an oberster Stelle und wir bedauern die Unannehmlichkeiten, die dieser Vorfall verursacht, sehr. "
Allein die Tatsache was df da alles an Daten zentralisiert hat. Schufa-Scoring? OK, das man das abfragt bei Neukunden MAYBE, wenn man sonst keine Sorgen hat... aber wozu speichern? Der Score ändert sich eh jedes Quartal wie man weiß. Ich denke nicht das der Score dann auch 1x im Quartal aktualisiert wird, wozu auch? Bei Bestandskunden ja völlig unnötig.
Wenn ich das richtig verfolgt habe, scheinen viele Daten ja auch noch im Klartext gespeichert gewesen zu sein. Wenn das bei den Bankdaten auch zutrifft...
Was sich hinter den "anderen persönlichen Daten" alles so verbirgt wäre dann ja auch interessant zu wissen.
Schön ist es, wenn man nun hierdurch erfährt welche Daten dort denn so erfasst sind und dann eine Auskunftsabfrage macht, ob da z.B. auch Dinge wie der ermittelte Schufa-Score enthalten sind. Wenn nicht, könnte man gleich noch "DSGVO Abmahnungen" (ekelhafter Begriff aber damit kann halt jeder was anfangen) hinterher hageln.
Alles in allem, wenn es denn stimmt, kann df von Glück sagen das der "Hacker" sich wohl keinen kompletten Dump der Datenbank gezogen hat sondern nur gezielt Daten einiger Kunden gesucht hat, soweit seine Aussage. Ob das stimmt ist auch wieder eine andere Sache.
Nachdem er das ganze nach außen getragen hat, wer weiß was er für Angebote hatte und nicht vielleicht doch einen Dump hatte.
Ich meine... wer würde denn bitte nicht bei erfolgreichem Zugriff auf eine Datenbank pauschal erstmal parallel einen Dump anstoßen?
Nachtrag, arghs!
https://twitter.com/NaHabedere/status/1015238098635100162
https://i.imgur.com/k6o5zuP.png
"Der Schutz der Daten unserer Kunden steht an oberster Stelle und wir bedauern die Unannehmlichkeiten, die dieser Vorfall verursacht, sehr. "
Allein die Tatsache was df da alles an Daten zentralisiert hat. Schufa-Scoring?
OK, das man das abfragt bei Neukunden MAYBE, wenn man sonst keine Sorgen hat... aber wozu speichern? Der Score ändert sich eh jedes Quartal wie man weiß. Ich denke nicht das der Score dann auch 1x im Quartal aktualisiert wird, wozu auch? Bei Bestandskunden ja völlig unnötig.Wenn ich das richtig verfolgt habe, scheinen viele Daten ja auch noch im Klartext gespeichert gewesen zu sein. Wenn das bei den Bankdaten auch zutrifft...
Was sich hinter den "anderen persönlichen Daten" alles so verbirgt wäre dann ja auch interessant zu wissen.
Schön ist es, wenn man nun hierdurch erfährt welche Daten dort denn so erfasst sind und dann eine Auskunftsabfrage macht, ob da z.B. auch Dinge wie der ermittelte Schufa-Score enthalten sind. Wenn nicht, könnte man gleich noch "DSGVO Abmahnungen" (ekelhafter Begriff aber damit kann halt jeder was anfangen
) hinterher hageln.Alles in allem, wenn es denn stimmt, kann df von Glück sagen das der "Hacker" sich wohl keinen kompletten Dump der Datenbank gezogen hat sondern nur gezielt Daten einiger Kunden gesucht hat, soweit seine Aussage. Ob das stimmt ist auch wieder eine andere Sache.
Nachdem er das ganze nach außen getragen hat, wer weiß was er für Angebote hatte und nicht vielleicht doch einen Dump hatte.
Ich meine... wer würde denn bitte nicht bei erfolgreichem Zugriff auf eine Datenbank pauschal erstmal parallel einen Dump anstoßen?
Nachtrag, arghs!
https://twitter.com/NaHabedere/status/1015238098635100162
https://i.imgur.com/k6o5zuP.png
Last edited by a moderator:
killerbees19
Member
Soweit ich das verstanden habe, hat er einen kompletten Dump der Kunden-DB. Das hat er mehrfach im DF-Forum und auf Twitter geschrieben.
Eventuell auch interessant: https://twitter.com/NaHabedere/status/1015461554534469632 (Aussage kann ich derzeit leider nicht verifizieren; bin nur mit dem Handy online)
Eventuell auch interessant: https://twitter.com/NaHabedere/status/1015461554534469632 (Aussage kann ich derzeit leider nicht verifizieren; bin nur mit dem Handy online)
A
andreas0
Guest
Damit vom hinterlegten Konto des Kunden auch die fälligen Beträge abgebucht werden können, müssen diese Daten in der Datenbank so abgelegt sein, so dass sie zur Weiterverarbeitung auch verwendet werden können.
Ist schon eigenartig, dass der Kunde im Kundenbereich seine eigenen Daten nur zum Teil sieht.
Joe User
Zentrum der Macht
Abgesehen davon dass 50EUR weit unter dem Marktüblichen liegen, hat meine Frau keinen Zugriff auf mein Konto. Und selbst wenn, müsste ich nichts erklären, da meine Frau derartiges nicht glauben würde, da sie weiss, dass man dafür in Bar bezahlt wird.Jemand überweist Dir 50€ für "sexuelle Gefälligkeiten" und Du darfst das dann Deiner Frau erklären
Du meinst Lastschrift? Jupp, lässt sich problemlos zurück buchen, ist also nix mit Schindluder treiben...
derWachert
Member
@andreas0 abgelegt werden müssen sie ja, aber im Klartext? Keinesfalls. Kritische Zahlungsdaten würde ich vor allem nicht mal in der gleichen Datenbank speichern sondern komplett getrennt. Das erschwert das "fixe" dumpen schon mal vor allem in direktem Bezug zu den Kundendaten, alles schön zusammen... wenn man dann am Arsch ist, dann wenigstens gleich so richtig?
A
andreas0
Guest
Das hatte ich so gar nicht geschrieben. Aber ob die Daten des Kunden nun verschlüsselt oder in Klartext in einer Datenbank abgelegt werden, spielt eigentlich keine Rolle. Sie dürfen unberechtigten Dritten nicht zugänglich gemacht werden. Denn selbst die Anschrift und weitere Daten eines Kunden gehören zu den sensiblen Daten.
derWachert
Member
Hehe... ja. Das auf jeden Fall, ob "verschlüsselt" oder nicht, Dritte sollten natürlich so oder so keinen Zugang/Zugriff haben.
Wegen DSGVO-Panne: Domainfactory-Kundendaten waren als XML-Feed offen im Netz
https://www.heise.de/newsticker/mel...waren-als-XML-Feed-offen-im-Netz-4107074.html
Quelle: heise Online.
https://www.heise.de/newsticker/mel...waren-als-XML-Feed-offen-im-Netz-4107074.html
Quelle: heise Online.
GwenDragon
Registered User
Das nenne ich Datenreichtum.
Nett, wenn alles im Newsfeed landet, weil das Monitoring und CRM so verbuggt sind und gesprächig.
Wenn eine "DSGVO-Spalte" entscheidet wie und ob Daten verschlüsselt sind, ist alles zu spät bei deren Programmdesign.
Muss wohl vor einiger Zeit schnell reingepatcht worden sein wegen der EU-DSGVO und dann wurde die Webanwenung eher nicht sehr intensiv getestet bzw. einem Audit überzogen.
Manchmal bin ich froh, kein Hosting für Kunden zu machen, wenn ich so ein Disaster sehe. Da könnte ich nicht schlafen, wenn da solche Software existieren würde.
Na, hoffen wir mal, dass es nur ein Imageschaden für DF wird.
Nett, wenn alles im Newsfeed landet, weil das Monitoring und CRM so verbuggt sind und gesprächig.
Wenn eine "DSGVO-Spalte" entscheidet wie und ob Daten verschlüsselt sind, ist alles zu spät bei deren Programmdesign.
Muss wohl vor einiger Zeit schnell reingepatcht worden sein wegen der EU-DSGVO und dann wurde die Webanwenung eher nicht sehr intensiv getestet bzw. einem Audit überzogen.
Manchmal bin ich froh, kein Hosting für Kunden zu machen, wenn ich so ein Disaster sehe. Da könnte ich nicht schlafen, wenn da solche Software existieren würde.
Na, hoffen wir mal, dass es nur ein Imageschaden für DF wird.
Last edited by a moderator:
D
Deleted member 11740
Guest
Das wird ja immer besser.
Zum Glück bauen die keine Atomkraftwerke...
Zum Glück bauen die keine Atomkraftwerke...
ich bin selber kein Kunde aber ich finde diesen Beitrag im heise.de Forum lesenswert:
https://www.heise.de/forum/heise-on...Sytematisches-Versagen/posting-32677759/show/
https://www.heise.de/forum/heise-on...Sytematisches-Versagen/posting-32677759/show/