MastersForum

Laut deren Seite, wo man die eigenen Daten prüfen kann, bin ich als Vodafone-Kunde nicht betroffen.

Sorgen machen muss man sich vermutlich nicht großartig, sofern die Angaben von Vodafone stimmen, denn an die Zahlungsverkehrsdaten kommt man vergleichsweise einfach und kann diese nur nutzen, um Lastschriften abzubuchen oder für Phishing Aktionen. Etwas kritischer ist das Ganze in Verbindung mit dem Geburtsdatum. Manch einem telefonischem Dienst genügt das zur Autorisierung...

Zitat von »disaster«

Laut deren Seite, wo man die eigenen Daten prüfen kann, bin ich als Vodafone-Kunde nicht betroffen.

Sorgen machen muss man sich vermutlich nicht großartig, sofern die Angaben von Vodafone stimmen, denn an die Zahlungsverkehrsdaten kommt man vergleichsweise einfach und kann diese nur nutzen, um Lastschriften abzubuchen oder für Phishing Aktionen. Etwas kritischer ist das Ganze in Verbindung mit dem Geburtsdatum. Manch einem telefonischem Dienst genügt das zur Autorisierung...

Von einigen haben Sie wohl auch die Ausweiskopien / Nr. - Personalausweis wird teils auch als Verifizierung akzeptiert. Bei nem Vodafone Reseller vor 4 Jahren oder so musste ich auch ne Ausweiskopie per Mail schicken.
Laut der Seite bin ich betroffen, mit meinem älteren Girokonto was zwar noch aktiv ist, aber die letzten 2 Jahre kaum genutzt wird - da ich mein Gehaltskonto gewechselt habe.
Ich bin übrigens betroffen, obwohl ich Anfang 2011 meinen Vertrag gekündigt und seit dem kein Vodafone Kunde mehr bin. War also 2 1/2 Jahre später noch voll im System.
Mein aktueller Vertrag bei 1und1, welcher auch über das Vodafone Netz geht ist nicht betroffen, da 1und1 abrechnet und abbucht (also Provider ist) und nicht Vodafone direkt.

Naja die Daten reichen schon aus um a) Online Verträge abzuschließen b) Bestellungen durchzuführen und vor allem c) Um Zugang zu Control Centern / Kundensystemen zu erlangen.
Ich bin jedenfalls schon mit weniger als einer Ausweiskopie / Nr. an ein Kundenkonto gekommen z.B. als ich für meine Freundin mal n Zugang ändern sollte wo sie im Ausland war.

Kennst du Adresse + Bankverbindung + Geburtstdatum kannst du vieles wiederherstellen lassen (Mit Sätzen wie "hab die Email Adresse leider nicht mehr / bin umgezogen, neue Festnetznummer etc.)
Hast du auch noch ne Ausweiskopie oder irgend ne andere Info / letzte Rechnungen oder sowas, hast du eh gewonnen und kannst auch ganze Vertragsänderungen / Verlängerungen durchführen.
Ein Beispiel wäre: Kontrolle zum Kundencenter, Adresse ändern, Vertragsverlängerung mit neuem Iphone 5S abschließen (mit upgrade auf teureren Vertrag) -> Iphone an der neuen Adresse oder Packstation einsacken, bye.


Nervig finde ich auch, dass ich mein zweites Girokonto im Auge behalten muss, auch wenn der Umsatz dort auf wenigen Euro pro Monat stagniert.
Sollte ich vlt. mal kündigen, ist eh nur von Vorteil wenn größere Geldbeträge zahlen muss und auf dem 1. Girokonto kein höheres Tägliches Kartenlimit hat.
Dafür kann man in der Regel heutzutage aber Kreditkarten nutzen... außer bei Ikea, wie n Kollege beim Kauf einer 6000 Euro Küche festgestellt hat, wo er erstmal 3 EC Karten sammeln musste

Für alle die sich wundern wo man das nachschauen kann:
https://www.vodafone.de/privat/hilfe-sup…-betroffen.html

(Auch wenns bloß 2 clicks sind, wenn man vodafone.de als click rechnen will)

Bin nicht betroffen ...
Krass das ich als 10 jähriger kunde nicht betroffen bin , dafür aber hier schon 2 leute die nichtmal mehr einen vertrag dort haben.
Bin gespannt ob man da rechtliche schritte einleiten kann...
Irgendwelches bürokratisch/juristisches fachgebrabbel von wegen "nach einem jahr sind daten aus sicherheits gründen oder serverwartungsgründen whatever noch nicht gelöscht" können die ja sicher begründen IRGENDWIE.
Aber bei attila? ZWEIEINHALB JAHRE? Wtf.

Vielleicht sind einfach die Daten der logisch gelöschten Kunden geklaut worden und nicht die des aktiven Bestandes.
Unter Umständen kommt man an archivierte Daten als Insider leichter dran, sehe ich öfter mal, dass die Sicherheit da schlechter ist.
Häufig müssen sie aber aufgehoben werden (wenigstens 10 Jahre), auch wenn der Kunde nicht mehr aktiv ist.

na gut, dann kein TL: DR:

Also wenn ich meine letzten drei Arbeitgeber anschaue und das mit Rückmeldungen meiner Kollegen abgleiche muss ich leider sagen, dass man als stinknormaler Windows oder Netzwerkadmin auch als Berufseinsteiger ohne jegliche Führungsverantwortung recht mühelos an alle Daten ran kommt, wenn man es bösartig drauf anlegt und über einen längeren Zeitraum plant. Selbst an Patientendaten.. Genug Admins sind Domain Admins oder kennen alle Passwörter. Wirkliche IT Security wird doch nur in wenigen Unternehmen gelebt, für die meisten Firmen abseits des Bankensektors und der größeren Unternehmen ist das viel zu teuer.

Hättest Du eine Management-Summary für mich bitte?

Ich weiß nicht mal was ne management summary ist, aber nein ich ziehe nichts raus @ work. Wenn du bezweifelst das das wirklich möglich ist, les dir mal durch was über Wireshark / Traffic mitschneiden und die Möglichkeiten eines Domain Admins durch.

Was ich mit meiner Wall of Text eigentlich auf den Punkt bringen wollte:
Es wundert mich nicht das es Leute gibt die Daten raus ziehen und verticken oder releasen.
Wundern tut mich eher, dass es nicht viel mehr passiert / nicht mehr geklaut / vertickt wird.
Man braucht dazu kein Masterbrain sein, es gibt tausende in der IT die Schaden anrichten können wenn sie wollen.


So ähnlich wie Seele mal sagte: Wenn ein paar wirklich gute chemiker wirkliche terroristen wären und ihre Fähigkeiten ausnutzen, wären Terroranschläge wie 9/11 n Witz dagegen.

gief TLDR!

Zitat von »Juzam«

gief TLDR!

k, removed.

Zitat von »Attila«

Wundern tut mich eher, dass es nicht viel mehr passiert / nicht mehr geklaut / vertickt wird.
Man braucht dazu kein Masterbrain sein, es gibt tausende in der IT die Schaden anrichten können wenn sie wollen.

Zum einen: es passiert vermutlich mehr, als man mitbekommt. Diverse Datenklaus, gerade von Insidern, werden gar nicht auffallen.
Zum anderen: man hat einiges zu verlieren, wenn man erwischt wird (Kündigung, Vorstrafe, Schadenersatz) und was macht man mit den geklauten Informationen? Meine fehlende Motivation vorausgesetzt, könnte ich als Insider Informationen - möglicherweise unentdeckt - entwenden, aber was dann? Es dürfte unmöglich sein, diese zu Geld zu machen, ohne Spuren zu hinterlassen bzw. weitere Risiken einzugehen. Man kann sie natürlich bei ebay-Kleinanzeigen zum Verkauf anbieten.

Zitat von »Pigov«

Irgendwelches bürokratisch/juristisches fachgebrabbel von wegen "nach einem jahr sind daten aus sicherheits gründen oder serverwartungsgründen whatever noch nicht gelöscht" können die ja sicher begründen IRGENDWIE.
Aber bei attila? ZWEIEINHALB JAHRE? Wtf.

Das liegt ganz schlicht daran, dass es eine gesetzlich vorgeschriebene Aufbewahrungsfrist für Kundendaten gibt. Selbst wenn also ein Unternehmen sagen würde "Den will ich sowieso nicht mehr als Kunden" hätte es daher keine Wahl, sondern müsste die Daten aufbewahren, da es sonst gegen geltendes Recht verstoßen würde. Soweit ich weiß hebelt auch das BDSG diese Aufbewahrungspflicht nicht auf. Wie lange weiß ich allerdings grad nicht sicher. 5 Jahre? 6 Jahre? 10 Jahre? Auf jeden Fall mehr als 2,5 Jahre

Was die Aussage "Komisch das da nicht mehr passiert" angeht: Ja, als IT'ler kann ich Zugriff auf so ziemlich alle noch so sensiblen Daten erlangen. Aber warum sollte man diese Daten missbrauchen? Da gehört dann schon erhebliche kriminelle Energie zu.

bin auch betroffen :[

vor allem durch einen "schubladenvertrag" ... nicht mal mein aktiver.

Tzzz... keine Ahnung wann ich da nen Vertrag hatte... muss jedenfalls spätestens Sommer/Herbst 2012 ausgelaufen sein.

Zitat

Die Überprüfung der eingegebenen Daten hat ergeben, dass Ihre Daten leider von dem Angriff betroffen waren. Vodafone Deutschland bedauert den Vorfall sehr und wir bitten Sie um Entschuldigung.

Aus deren Datenschutzerklärung zum Thema Löschung:

Zitat

Welche Daten werden verarbeitet und genutzt - und wann wieder gelöscht?

Neben den Bestandsdaten (z.B. aus dem Kundenauftrag), erhebt, verarbeitet und nutzt Vodafone auch Ihre Verkehrs- und Nutzungsdaten; hierin besteht die Verpflichtung zur Einhaltung und Umsetzung gesetzlicher Vorgaben. Verkehrs- und Nutzungsdaten sind u.a. Daten, die z.B. bei der Telefonie oder auf andere Art über das Vodafone Mobilfunknetz anfallen (z. B. bei SMS/MMS, Datendienste, Identifikationsdaten bei der Nutzung von Telediensten). Diese Daten werden zum Aufbau und Erhalt der Mobilfunkverbindung sowie zur Erstellung der Abrechnung benötigt und werden längstens für 6 Monate nach Rechnungsversand gespeichert, verarbeitet und genutzt.

Nach dem Telekommunikationsgesetz sind wir verpflichtet, die Bestandsdaten vollständig mit Ablauf des auf die Vertragsbeendigung folgenden Kalenderjahres zu löschen. Verlangen handelsrechtliche Vorgaben (Handelsgesetzbuch oder Abgabenordnung) eine länger währende Speicherung der Daten sind diese bindend.

Quelle

Wenn ich dich richtig verstanden habe, handeln sie also im Rahmen ihrer Geschäftsbedingungen. Die allerdings eine Frechheit sind.

Lol. Hab bei der Onlinenachfrage ein klares "nicht betroffen" , gestern aber n Brief von Vodafone, mit der Entschuldigung dafür dass man unter den Betroffenen sei... naja. Chaosladen.

Zitat von »CF_Elsch«

Lol. Hab bei der Onlinenachfrage ein klares "nicht betroffen" , gestern aber n Brief von Vodafone, mit der Entschuldigung dafür dass man unter den Betroffenen sei... naja. Chaosladen.

Die hatten halt erst nach deiner Eingabe im dem Onlineformular Daten, die geklaut werden konnten

Zitat von »OoK_Isch«

Zitat von »CF_Elsch«

Lol. Hab bei der Onlinenachfrage ein klares "nicht betroffen" , gestern aber n Brief von Vodafone, mit der Entschuldigung dafür dass man unter den Betroffenen sei... naja. Chaosladen.

Die hatten halt erst nach deiner Eingabe im dem Onlineformular Daten, die geklaut werden konnten

Die Überlegung hatte ich auch, als ich zum checken meine Kontodaten eingegeben hab.
So ne Hacker Aktion mit anschliessendem Onlinestellen der Seite - um auch noch die restlichen Kontodaten abzugreifen