Datenleck bei Domainfactory

DeaD_EyE

Blog Benutzer
Ganz toll ist daran, dass man das als Kunde über Dritte erfährt und nicht vom Dienstleister selbst mitgeteilt bekommt. Domainfactory, schämt euch!

Auf der einen Seite geht uns der "Gesetzgeber" tierisch mit neuen Gesetzen auf die Nerven, auf der anderen Seite können Unternehmen immer noch grob fahrlässig mit Daten Dritter hantieren. Das muss unterbunden werden. Dafür brauchen wir mal endlich nationale Gesetze, die dann auch angewandt werden.
 
Aber Premium-Service ist das schon, wenn man im Kundenforum das eigene Telefonpasswort mitgeteilt bekommt, an das man sich nicht mehr zu 100% erinnern kann. Und das sogar für beide Kundennummern, auch die, die man seit 8 Jahren nicht mehr benutzt.

*scnr*
 

chris4000

Member
Schade, dass keine Details bekannt sind. Wie konnte er den Server rooten? Welche Sicherheitslücken hat er ausgenutzt? Wie ist es möglich, dass man von einem gehackten Webhosting Server weiter ins interne Netz zur Kundendatenbank kommt? Dürfte nicht nur die andere Richtung funktionieren?
 

Orebor

He who dances with pointers
Na toll, ich war vor Jahren mal Kunde bei df und bin gespannt, ob meine Daten damals auch wirklich gelöscht wurden oder jetzt auch Teil dieses "Datenreichtums" sind.
Interessant wäre auch, wenn die Erklärung so stimmt und er sich tatsächlich von einem kompromittierten Server aus durch das interne Netz hangeln konnte.
 
Ich hasse diese Aussage die einfach jeder als Phrase so oder so ähnlich bei sowas in den Raum wirft:

"Der Schutz der Daten unserer Kunden steht an oberster Stelle und wir bedauern die Unannehmlichkeiten, die dieser Vorfall verursacht, sehr. "

Allein die Tatsache was df da alles an Daten zentralisiert hat. Schufa-Scoring? :D OK, das man das abfragt bei Neukunden MAYBE, wenn man sonst keine Sorgen hat... aber wozu speichern? Der Score ändert sich eh jedes Quartal wie man weiß. Ich denke nicht das der Score dann auch 1x im Quartal aktualisiert wird, wozu auch? Bei Bestandskunden ja völlig unnötig.

Wenn ich das richtig verfolgt habe, scheinen viele Daten ja auch noch im Klartext gespeichert gewesen zu sein. Wenn das bei den Bankdaten auch zutrifft...

Was sich hinter den "anderen persönlichen Daten" alles so verbirgt wäre dann ja auch interessant zu wissen.

Schön ist es, wenn man nun hierdurch erfährt welche Daten dort denn so erfasst sind und dann eine Auskunftsabfrage macht, ob da z.B. auch Dinge wie der ermittelte Schufa-Score enthalten sind. Wenn nicht, könnte man gleich noch "DSGVO Abmahnungen" (ekelhafter Begriff aber damit kann halt jeder was anfangen :p) hinterher hageln.

Alles in allem, wenn es denn stimmt, kann df von Glück sagen das der "Hacker" sich wohl keinen kompletten Dump der Datenbank gezogen hat sondern nur gezielt Daten einiger Kunden gesucht hat, soweit seine Aussage. Ob das stimmt ist auch wieder eine andere Sache.

Nachdem er das ganze nach außen getragen hat, wer weiß was er für Angebote hatte und nicht vielleicht doch einen Dump hatte.

Ich meine... wer würde denn bitte nicht bei erfolgreichem Zugriff auf eine Datenbank pauschal erstmal parallel einen Dump anstoßen?

Nachtrag, arghs!

https://twitter.com/NaHabedere/status/1015238098635100162
https://i.imgur.com/k6o5zuP.png
Anm. bzgl. Bankdaten: BIC liegt im Klartext vor, IBAN nur zum Teil im Klartext, aber zusätzlich noch zwei Mal, einmal als Hash und einmal RSA-Verschlüsselt (also insg. drei Mal). Die Klartext-Version hat in der Mitte "X" stehen, lässt sich also leichter Bruteforcen.
 
Last edited by a moderator:

marce

Well-Known Member
Jemand überweist Dir 50€ für "sexuelle Gefälligkeiten" und Du darfst das dann Deiner Frau erklären :)

Zugegeben, so einfach wie man ein SEPA einreichen kann kann man auch damit sicherlich noch ein wenig mehr Schindluder treiben...
 
A

andreas0

Guest
... BIC liegt im Klartext vor, IBAN nur zum Teil im Klartext, ...
Damit vom hinterlegten Konto des Kunden auch die fälligen Beträge abgebucht werden können, müssen diese Daten in der Datenbank so abgelegt sein, so dass sie zur Weiterverarbeitung auch verwendet werden können.

Ist schon eigenartig, dass der Kunde im Kundenbereich seine eigenen Daten nur zum Teil sieht.
 

Joe User

Zentrum der Macht
Jemand überweist Dir 50€ für "sexuelle Gefälligkeiten" und Du darfst das dann Deiner Frau erklären :)
Abgesehen davon dass 50EUR weit unter dem Marktüblichen liegen, hat meine Frau keinen Zugriff auf mein Konto. Und selbst wenn, müsste ich nichts erklären, da meine Frau derartiges nicht glauben würde, da sie weiss, dass man dafür in Bar bezahlt wird.

Zugegeben, so einfach wie man ein SEPA einreichen kann kann man auch damit sicherlich noch ein wenig mehr Schindluder treiben...
Du meinst Lastschrift? Jupp, lässt sich problemlos zurück buchen, ist also nix mit Schindluder treiben...
 
@andreas0 abgelegt werden müssen sie ja, aber im Klartext? Keinesfalls. Kritische Zahlungsdaten würde ich vor allem nicht mal in der gleichen Datenbank speichern sondern komplett getrennt. Das erschwert das "fixe" dumpen schon mal vor allem in direktem Bezug zu den Kundendaten, alles schön zusammen... wenn man dann am Arsch ist, dann wenigstens gleich so richtig? :p
 
A

andreas0

Guest
@andreas0 abgelegt werden müssen sie ja, aber im Klartext?
Das hatte ich so gar nicht geschrieben. Aber ob die Daten des Kunden nun verschlüsselt oder in Klartext in einer Datenbank abgelegt werden, spielt eigentlich keine Rolle. Sie dürfen unberechtigten Dritten nicht zugänglich gemacht werden. Denn selbst die Anschrift und weitere Daten eines Kunden gehören zu den sensiblen Daten.
 
Hehe... ja. Das auf jeden Fall, ob "verschlüsselt" oder nicht, Dritte sollten natürlich so oder so keinen Zugang/Zugriff haben.
 

GwenDragon

Registered User
Das nenne ich Datenreichtum.
Nett, wenn alles im Newsfeed landet, weil das Monitoring und CRM so verbuggt sind und gesprächig.
Wenn eine "DSGVO-Spalte" entscheidet wie und ob Daten verschlüsselt sind, ist alles zu spät bei deren Programmdesign.
Muss wohl vor einiger Zeit schnell reingepatcht worden sein wegen der EU-DSGVO und dann wurde die Webanwenung eher nicht sehr intensiv getestet bzw. einem Audit überzogen.
Manchmal bin ich froh, kein Hosting für Kunden zu machen, wenn ich so ein Disaster sehe. Da könnte ich nicht schlafen, wenn da solche Software existieren würde.

Na, hoffen wir mal, dass es nur ein Imageschaden für DF wird.
 
Last edited by a moderator:
Top