[Netzwelt] eBay schränkt die Sicherheit seiner Nutzer deutlich ein

Jump to last post
pr_fpwtko1.png

Selbst Kleinkinder könnten (unter Zuhilfenahme einer Suchmaschine) die Zugangsdaten gehackter E-Mail-Konten in Erfahrung bringen. Beinahe täglich tauchen bei Pastebin & Co. neue Datensätze mit geklauten Zugangsdaten unzähliger E-Mail-Konten auf. Sofern die Angaben noch stimmen oder Passwörter mehrfach benutzt werden, was oft der Fall ist, können Script Kids oder andere wannabe "Hacker" durch das Zurücksetzen des Passworts die vollständige Kontrolle über ein Konto von eBay, Amazon oder Zalando erlangen. Einzige Voraussetzung ist die Kontrolle des betroffenen E-Mail-Kontos. Lässt sich der Cyberkriminelle dann beispielsweise beim weltweit größten Internet-Auktionshaus auf Kosten des Kontoinhabers hochpreisige Ware an eine anonym erworbene Packstation oder ins Ausland schicken, ist das Horrorszenario perfekt.

3 – 2 – 1, meins? Oder doch nicht meins?

Die Hintergründe zu diesem Fall wurden der Verbraucherschutz-Seite
You do not have permission to view link please Anmelden or Registrieren
entnommen. Den Betreibern wollte oder konnte man nicht auf ihre Presseanfrage antworten. Da hatte ich mehr Glück. Weitere Details kann man meinem
You do not have permission to view link please Anmelden or Registrieren
und dem
You do not have permission to view link please Anmelden or Registrieren
entnehmen.

pr_fpwtko2.png
 
Zum Vergrößern anklicken....
Naja, das war doch schon immer so, dass der Zugang zum E-Mail Konto meistens auch der Zugang zu vielen anderen Logins bedeutet.
Und wenn ich mich nicht täusche, braucht man doch trotzdem noch die PayPal Zugangsdaten oder Bankverbindung, um auf eBay zu bezahlen?
 
Mit Passwörtern wird einfach viel zu unsensibel umgegangen. Bei zich Diensten das gleiche viel zu simple Passwort und das über Jahre hinweg.

Das Sicherheitsproblembesteht hier nicht bei eBay sondern beim Nutzer. Abhilfe schafft da nur ein bisschen Eigeninitiative und tools wie keepass, bestenfalls mit reminder zur Passwort Änderung.

Abgesehen davon sollten Kundendaten natürlich nie im Internet frei zugänglich auftauchen...

PayPal Daten des Benutzers sind auch nicht zwingend nötig, die gibt es genauso wie packstations anonym im "Untergrund" zu erwerben.
 
  • Thread Starter Thread Starter
  • #4
Die Bankverbindung wurde vom Benutzer doch im Vorfeld eingegeben. Das gilt auch für PayPal.

Warum das Problem nur auf die Nutzer abschieben? Der Betreiber verdient doch an der Benutzung, warum dann nicht die höchsten Sicherheitsstandards einführen statt diese zu reduzieren? Das Auftauchen der Datenbanken im Internet wird niemand verhindern können. Auch nicht, dass die Leute die gleichen Passwörter x Mal benutzen.
 
Jedoch wird doch nicht automatisch gezahlt.
Habe mir gerade eben etwas gekauft und zumindestens bei PayPal muss ich mich extra noch einmal einloggen. Das selbe auch auf dem Smartphone.
 
Tja... wie soll man es sonst machen? Eine weitere E-Mail-Adresse hinterlegen? Die kann auch gehackt werden. Zusätzliche Sicherheitsfragen? Sorry, aber ich weiß z.B. nicht mehr was vor 7 Jahren mein Traumberuf war, oder in welchem geistigen Zustand ich war als ich für diese Sicherheitsfragen mein erstes Haustier benannte... War das der Hamster oder die Katze? Welche der drei Katzen? usw.

Und schließt man diese Methoden aus, dann geht es nur wenn man noch persönlichere Daten hinterlegt, ergo an ein Unternehmen verfüttert. Telefonnummer, Anschrift... auch eher unschön... Hinzu kommt: Mich persönlich hat es furchtbar genervt dass ich 4 Tage lang auf mein neues Passwort für das Kreditkartenbanking warten musste, weil es per Post verschickt wurde... Vor allem weil mir das alte Passwort an Tag 2 wieder einfiel, aber nun ungültig war...

Also ich verstehe die Bedenken, aber ich sehe keinen praktikablen weg diese allgemeingültigen Umstände zu ändern.
 
optional für die Benutzer eine 2-Faktor Authentifizierung z.B. über den
You do not have permission to view link please Anmelden or Registrieren
der jedem kostenfrei zur Verfügung stehen würde der ein Smartphone hat - wäre zumindest ein relativ konstengünstiger weg für Betreiber und Nutzer...
Und wäre wenn auch nicht Perfekt - ein kleiner Schritt in richtung mehr Sicherheit.
 
You do not have permission to view link please Anmelden or Registrieren
So ganz hab ich nicht verstanden wo Ebay seine Standards reduziert haben soll? Bzw. was Ebay hier von 99% aller anderen Shopping-Sites unterscheidet?!
 
die sicherheitsfragen waren doch schon immer das groesste einfallstor zum accountdiebstahl. wieviele versuche braucht man wohl schon, um die augenfarbe einer mutter oder den namen eines hundes zu erraten?
die wenigsten nutzer werden an der stelle ein weiteres, sicheres passwort eingegeben haben, was aber noetig waere.
 
You do not have permission to view link please Anmelden or Registrieren

Hast recht. Die wenigsten Nutzer werden auch anstelle Ihrer Namen & Adresse kryptische Zeichenfolgen nach einem geheimen, physischen Schlüssel verwendet haben, was aber nötig wäre. Ebenso verzichten die meisten darauf ein drittes und viertes sicheres Kennwort festzulegen, was aber nötig wäre. Oftmals wird auch, völlig naiv, darauf verzichtet persönlich zum Hauptsitz des Unternehmens zu fahren und dort vorzusprechen, was aber nötig wäre...

Alter, wenn da nicht steht "bitte geben sie ein weiteres, sicheres Passwort an", wieso sollte man das dann tun? Als Nutzer muss ich so schon unheimlich viel selbst leisten. Anderes, sicheres Passwort bei jedem Service den ich nutze, nirgendwo niedergeschrieben, und am besten auch nicht in irgendeinen Passwortservice gespeichert, denn da braucht man nur ein Passwort erraten um dann alle zu haben. Und regelmäßig wird irgendwo irgendwer gehackt und dann war das ganze Bemühen ohnehin völlig umsonst etc... Ich denke nicht dass man als Nutzer dem Sicherheits-Problem insgesamt durch weiteres verkomplizieren der eigenen Eingaben Herr wird. Das macht sie zwar schwieriger zu erraten, aber auch ebenso schwieriger zu merken.

Und schaue ich mir so an wo ich überall angemeldet bin... puh. so 100 Logins sind das sicher inzwischen. Sicher nicht welche die ich ständig nutze, aber gerade wenn ich bei diesen nach dem Namen meines Haustieres gefragt werde, denke ich sicher nicht automatisch an "Rlö5&%khjK734".
 
dann darfst du dich aber auch nicht wundern oder dich beschweren, wenn der eine oder andere account mal weg ist.
 
Wenn du nach dem Namen deines Haustieres gefragt wirst denkst du lieber an etwas was man mit einer Wörterbuchattacke inerhalb von Minuten knacken kann?
Jeder sollte selber wissen wie wichtig einem seine Daten sind. Dazu gehört dann aber im worst-case nicht nur etwas Aufwand um alles wieder sauber zu bekommen sondern eben auch mal ne etwas höhere Paypalabrechnung. Jeder wie er meint. Zumal man sich Kennwörter ja auch aufschreiben und sicher verwahren kann.
 
  • Thread Starter Thread Starter
  • #13
Es geht ja nicht nur um die Daten. Es geht vor allem ums Geld! eBay, Zalando und Amazon machen es ja allesamt genauso schlecht. Ich sehe auch noch keine Lösung. Aber einfach alles herunterfahren in solchen Zeiten, wo ständig gigantische Datenbanken voller geknackter E-Mail-Accounts im Web die Runde machen, halte ich für extrem bedenklich, um es mal nett auszudrücken.

Ich werde in den nächsten Tagen den Forensiker
You do not have permission to view link please Anmelden or Registrieren
befragen, ob ihm nicht etwas Gutes einfällt. Wenn der Podcast veröffentlicht ist, melde ich mich wieder.
 
Shinigami schrieb:
Jedoch wird doch nicht automatisch gezahlt.
Habe mir gerade eben etwas gekauft und zumindestens bei PayPal muss ich mich extra noch einmal einloggen. Das selbe auch auf dem Smartphone.
Zum Vergrößern anklicken....
Nein das mag wohl sein!
Aber, der Durchschnitts-User hat meistens nur ein einziges Passwort!
Wenn man das Passwort für den Email-Acc hat, hat man meistens auch das Zugangspasswort für alle anderen Dienste, wo sich dieser User mit der Email angemeldet hat.

Das ist auf der einen Seite ein User Problem.
Da es aber schon lange bekannt ist, sollte es aber von einem "vernünftigem" oder nennen wir es mal umsichtigem Admin vorsorglich eine vorgreifende Lösung dafür geben.

Das ist vergleichbar mit dem Mist, den Blizzard eingeführt hat.
Vor ein paar Jahren ging es los, dass man sich nicht mehr mit seinem Nick und einem anderem Passwort anmelden konnte, sondern seine registrierte Email-Adresse als Account-Name preisgeben musste.
Man konnte zwar ein anderes Passwort festlegen, aber mal ehrlich, von 10 Usern werden sicherlich mindestens 3-4 das gleiche Passwort wählen, was auch die Email-Adresse hat, teilweise auch einfach nur aus dem Grund, weil ihnen die Wertigkeit ihres
Email-Acc-Passwortes nicht bekannt ist...

Warum klebt man an Bushaltestellen Greifvögel an die Scheiben?
Weil man A damit ausschließen möchte, dass andere Vögel davor rasseln und B, weil man auch verhindern will, dass andere Menschen davor donnern :D.
Das ist eine minimale Maßnahme, die aber eine große Wirkung entfaltet...
 
die panikmache ist doch irgendwie selbstverschuldet, oder? warum sind auf einmal die diensteanbieter dafür verantwortlich, wenn leute ins internet gelassen werden, die nicht dafür geeignet sind? verklagt man den autohersteller, wenn man gegen einen baum fährt? ;)..

2-3 halbwegs vernünftige passwörter sind meistens genug - am wichtigsten ist es aber richtig einzuschätzen, wo man welche passwörter benutzen sollte.. es ist nicht fahrlässig, z.b. für den email- und paypal-account dasselbe passwort zu benutzen, wenn man es sonst nirgends benutzt.. in russischen warez-foren sollte man dagegen evtl. ein anderes passwort nutzen.. bei seriösen anbietern (nicht adobe) kann man sich relativ sicher sein, dass die passwörter nicht im klartext oder mit popel-verschlüsselung gespeichert werden, da kann einem ein datenbank-klau am hintern vorbei gehen.. überhaupt werden eigentlich bei keinen aktuellen "webdiensten" (forensoftware o.ä.) mehr die passwörter in der db gespeichert, sondern (mehr oder weniger gute) hashes.. es bleibt letztlich vertrauenssache, was man in ein webformular eingibt, und genau dafür braucht man ein grundlegendes gespür und passwörter für mehrere "sicherheitslevels".. wenn mein "low-security" passwort in irgendeinem db-dump auftaucht, ist es mir relativ egal, weil damit schlimmstenfalls karteileichen in zig foren anfangen könnten herumzuspammen.. wenn es um geld oder privatsphäre geht, kommt ein höheres sicherheitslevel zum einsatz, und dann auch wirklich nur da und nicht im gulli-board oder anderen unseriösen einrichtungen ;).. so behält man auch ohne irgendwelche passwortmanager einen überblick und ist ziemlich sicher..

mTAN statt sicherheitsfrage wäre noch ein paar größenordnungen sicherer, aber da scheut man wohl die kosten - das könnte man nur mit identitätsdiebstahl knacken und wer sich seine identität stehlen lässt, hat im internet nichts verloren (außerdem hat man dann sowieso die arschkarte, ganz ohne irgendwelche passwörterklaus, weil einfach sachen auf rechnung bestellt werden können)..
 
Passwörter aufn Zettel schreiben und gut verwahren. Sollte jedem noch so unbegabten Menschen möglich sein. Dann kann man auch mal ein paar Sonderzeichen verwenden.
 
1Bratwurstbitte schrieb:
Nein das mag wohl sein!
Aber, der Durchschnitts-User hat meistens nur ein einziges Passwort!
Wenn man das Passwort für den Email-Acc hat, hat man meistens auch das Zugangspasswort für alle anderen Dienste, wo sich dieser User mit der Email angemeldet hat.
Zum Vergrößern anklicken....

Das ist wie du bereits gesagt hast ein Userproblem.

1Bratwurstbitte schrieb:
Das ist vergleichbar mit dem Mist, den Blizzard eingeführt hat.
Vor ein paar Jahren ging es los, dass man sich nicht mehr mit seinem Nick und einem anderem Passwort anmelden konnte, sondern seine registrierte Email-Adresse als Account-Name preisgeben musste.
Man konnte zwar ein anderes Passwort festlegen, aber mal ehrlich, von 10 Usern werden sicherlich mindestens 3-4 das gleiche Passwort wählen, was auch die Email-Adresse hat, teilweise auch einfach nur aus dem Grund, weil ihnen die Wertigkeit ihres
Email-Acc-Passwortes nicht bekannt ist...
Zum Vergrößern anklicken....

Dafür war Blizzard - zumindestens für mich - der erste große Konzern, der einen Authenticator eingeführt hat.

Novgorod schrieb:
die panikmache ist doch irgendwie selbstverschuldet, oder? warum sind auf einmal die diensteanbieter dafür verantwortlich, wenn leute ins internet gelassen werden, die nicht dafür geeignet sind? verklagt man den autohersteller, wenn man gegen einen baum fährt? ;)..
Zum Vergrößern anklicken....

Da ist was dran. :p

War-10-ck schrieb:
Passwörter aufn Zettel schreiben und gut verwahren. Sollte jedem noch so unbegabten Menschen möglich sein. Dann kann man auch mal ein paar Sonderzeichen verwenden.
Zum Vergrößern anklicken....

Bloß keine Zettel, für sowas gibt es doch Programme wie KeePass. Dort muss man sich nur ein Passwort merken und die Datenbank kann auch bequem auf mehreren externen Festplatten gesichert werden.
 
Was ist an nem Zettel so schlimm?
Habe Zuhause ein DIN A4 Blatt mit lauter Passwörtern und gegebenenfalls zugehörigen Mail Adressen auf beiden Seiten.
Damit ich unterwegs auch noch auf die Konten überall zugreifen kann habe ich beide Seiten auch noch per Handy abfotografiert ^^
 
Bei einem Zettel kann jeder der bei dir Zuhause ist ganz einfach alles abschauen.
Wenn dann noch dein Handy geklaut wird, dann hat derjenige deine Passwörter ebenfalls.
Muss jeder für sich selber entscheiden, ein bisschen Paranoia schadet nie. :p
 
Den Zettel habe ich ja versteckt und ansonsten bin ich bei diesen Key Managern auch recht paranoid, kann sich doch immernoch jemand reinhacken.
Da habe ich lieber den Zettel bei mir im Zimmer versteckt, wobei ich eh selten Besuch in meinem Zimmer habe da dies sehr klein ist :(
Bezüglich des Handys hast du aber Recht, jedoch ist es so handlicher und den Zugriff darauf muss man auch erstmal erhalten.
Zudem fällt mir auch keine Alternative ein bezüglich des Transports der Passwöter.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben