[Problem] 1un1-Account wurde offenbar gehackt

[oldmen]

Rauskommen wird das schon, nur wir werden es nicht erfahren!

 

[HabNeFritzbox]

Wirklich neues gibt es wohl nicht, oder?

Meine Fragen zu dem Thema wurden ignoriert von Herrn Davis, dem Vorstand sowie der Presseabteilung.
Selbst Fragen was 1&1 unternimmt zur Sicherheit, sagt man nichts. Sind wohl Fragen die man nicht zufriedenstellend beantworten könnte.

 

[oldmen]

Selbst Fragen was 1&1 unternimmt zur Sicherheit, sagt man nichts. ...

Sag mir mal deine Fernwartungszugangsdaten und deinen Wlan-Schlüssel, damit ich überprüfen kann, ob sie sicher sind....

Ich denke, 1&1 hat was gemacht. Aber was im Detail verbessert wurde, werden sie wohl nicht an die große Glocke hängen....

Hauptsache das Loch ist gestopft und die Geschädigten haben ihr Geld wieder!

 

[framp]

Ich hatte mal vor längerer Zeit als das hier aktuell war einfach nachgefragt ob irgendwo beschrieben ist:

1) Was man machen sollte um alles abzusichern
2) Wo beschrieben steht was sie für die Sicherheit machen

Zu 1 bekam ich die Antwort (sinngemäß): Sichere Passwörter benutzen und Rechner sichern mit z.B. Norton Sicherheitspaket
Zu 2 bekam ich die Antwort (sinngemäß): Thema Missbrauch und Sicherheit wir sehr ernst genommen. Man soll Verständnis haben, dass keine Auskunft zu Sicherheitsmechaniken gegeben werden können.

 

[HabNeFritzbox]

oldmen@ ich habe nicht nach deren Sicherheitskonzept gefragt, sondern eher Allgemeines, was aber wohl auch schon eher unangenehm ist.

Anbei mal ein Auszug aus meinen gestellten Fragen:

Wieso sind VoIP Rufnummern auch an fremden Geräten anmeldebar und nicht nur am dazugehörigen DSL Anschluß?

Wieso wird das Einrichten, Löschen und ändern von Rufnummern und Domains nicht per Email bestätigt?

Wieso gibt es kein zusätzliches Extrakennwort wenn solch eine Änderung vom fremden Anschluß vorgenommen wird?

Wieso werden Betroffene Kunden im Regen stehen gelassen, mehrfach vertröstet und unterstellen diese seien selbst Schuld, dass unbefugte sich neue Rufnummern angelegt haben und diese im Ausland angemeldet wurden und teure Paysafe Nummern angewählt wurden?

Wieso greift das Forum auf Kundennummer und Passwort zu und hat keine eigenen Logindaten?

Wieso werden Kundenpasswörter im Klartext gespeichert intern und nicht verschlüsselt? Selbst festgelegt Passwörter werden z.B dem Kunden in den DSL Zugangsdaten mitgeteilt beim Hardwareversand, sofern man bereits 1&1 Kunde ist bei DSL Bestellung.

In wie weit haben Mitarbeiter Einsicht auf die Passwörter?

Wird die Sicherheit und Datenschutz regelmäßig durch externe Sachvollständige überprüft und Zertifiziert?

 

[vöxchen]

oldmen@ ich habe nicht nach deren Sicherheitskonzept gefragt, sondern eher Allgemeines, was aber wohl auch schon eher unangenehm ist.

Anbei mal ein Auszug aus meinen gestellten Fragen:
Wieso sind VoIP Rufnummern auch an fremden Geräten anmeldebar und nicht nur am dazugehörigen DSL Anschluß?

weil man eine nomadische Nutzung des Anschlusses zulassen will. Und selbst die Kopplung an einen festen Anschluss kann IT technisch umgangen werden.

Gruss vöxchen

 

[HabNeFritzbox]

Risiko sollte aber geringer sein, wenn VoIP nur vom DSL Anschluß geht, und man sich dann via VPN verbindet, als wenn man Daten im Ausland direkt nutzen kann und dann Unfug betrieben werden kann.

 

[oldmen]

Gerade diese "nomadische Nutzung" einer VoIP-Nummer ist durchaus für viele kein Bug sondern ein wichtiges und gewünschtes Feature!

Allerdings sollte das Einrichten, Löschen und Bearbeiten von VoIP-Nummern im Control-Center besser abgesichert werden, da stimme ich zu.

 

[vöxchen]

Nomadische Nutzung von SIP ist nichts anderes als http mit Benutzername und Passwort (alles unverschlüsselt). Niemand würde so online-banking machen oder (freiwillig) Geld ausgeben oder in einem onlineshop ohne https einkaufen. Insofern wäre als naächster Schritt ein https gleiches Anmeldeverfahren und Übertragungsverfahren (SRTP) notwendig oder Zertifiakt o.ä..... dus.net hatte sowas schon mal. Aber das kostet natürlich Geld...
Vielfach wird nur über Abhörsicherheit diskutiert, der Accountdiebstahl ist aber ebenfalls abzusichern.

Gruss vöxchen

 

[oldmen]

Nomadische Nutzung von SIP ist nichts anderes als http mit Benutzername und Passwort (alles unverschlüsselt). ...

Und soll das jetzt im Umkehrschluss heißen, ein VoIP-Telefonat vom eigenen Anschluss ist verschlüsselt oder sicher?
Geht glaube ich aber auch total am Thema vorbei.


Das ursprüngliche Problem war ja wohl, dass bei verschiedenen Leuten neue Nummern angelegt wurden, mit diesen Nummern Unfug betrieben wurde und diese Nummern teils schon wieder gelöscht waren, wenn der Kunde die Rechnung bekommt.

Ist also eher eine Frage der Sicherheit des Control-Center, der nicht vorhandenen Rückmeldung, wenn ein Kunde eine neue Nummer freischaltet oder ändert bzw. unter Umständen auch der 1&1 Datenbank...

 

[pacroy76]

Bin nun auch Opfer eines Hackers geworden und würde gern einen Erfahrungsaustausch starten wollen.
Gerne Kontakt via PN

 

[koyaanisqatsi]

Willkommen im Forum

Bist du verrückt? EMail? Schonmal von PRISM gehört?

Nee, nee, lass uns das liieber hier diskutieren, in der Öffentlichkeit, bester Schutz wo gibt.


Und auch nachdem der 1und1 Account wieder freigeschaltet worden ist gilt:
Der Keylogger wartet schon auf deine nächsten Eingaben.
Und dann beginnt das Spiel von vorne, nur ist der Hacker wahrscheinlich gewarnt und ist etwas unauffälliger unterwegs.

Nachwievor haben 100% der Internetnutzer nichts zu verbergen, hab sie alle gefragt.
Deswegen ist es ihnen egal ob irgend ein Staat ihre Daten abfängt.
Aber ein Hacker, ja, das sollte einem zu Denken geben.
Vielleicht hat der Hacker ja eine NSA Taattoo, oder kommt aus Grossbritanien, die komplett das TAT-14 Kabel mit Unterstützung von BT und Vodafon überwachen.