diebstahl von 36200 paybackpunkten

ANZEIGE
A

_AndyAndy_

Erfahrenes Mitglied
07.07.2010
6.008
633
.de
ANZEIGE
Während weiter gerätselt wird, äußere ich eine Vermutung, was hier die Ursache sein könnte: abgelauschte E-Mail-Accounts bei der Nutzung der Allrounder-Apps.

Da weder Apple noch GMX es schaffen, eine benutzerfreundliche E-Mail App anzubieten, habe ich in den letzten Jahren myMail verwendet.

Ab irgendeinem Zeipunkt fing es an mit Verdachtsfällen, wo ich gleich dachte, dass so etwas nur möglich ist, wenn man Zugangsdaten vom E-Mail-Account hat. Das Passwort wurde mehrmals geändert, trotzdem kam es irgendwann zu einem weiteren Verdachtsfall, und ich wusste nicht, wo man bei der Untersuchung ansetzen soll. Alle Geräte sind clean.

Bis ich gestern durch einen Zustellfehler darauf aufmerksam geworden bin, dass ausgehende Mails, die man in der App schreibt, über den myMail Server geroutet werden. WTF, kommuniziert die App denn nicht direkt mit dem IMAP-Server von GMX wie die native Mail App? Habe mich dann in dieses Thema eingelesen und tatsächlich: solche Allrounder E-Mail Apps legen Account-Informationen auf eigenen Servern ab und routen Mails daüber... Nebenbei ist herausgekommen, dass myMail sich nur zypriotisch tarnt, aber eigentlich Mail.ru ist (tatsächlich sind die beiden Apps bis auf das Branding identisch) und zur Mail.ru App gibt es reichlich Beiträge darüber, wie nicht nur Account-Daten, sondern auch die Mails selbst abhanden kommen. Zwar etwas älter:
How the Mail.ru / MyMail Apps leak your 3rd party login data and your emails to Russia – The GAT at XIN.at

myMail gelöscht, native Mail App eingerichtet. Mal sehen.
 
  • Like
Reaktionen: chrischan! und Frank 1886
M

Markus85LEV

Reguläres Mitglied
02.07.2017
26
0
Ein ganz gravierendes Problem sehe ich ganz woanders.
Und da hat Payback sowie auch die vielen Mailanbieter eine Schuld dran.

Bin sowieso zunehmend fassungslos wie diese RIESEN Sicherheitslücke global gesehen noch nie groß thematisiert wurde.

Das Problem sind: Abgelaufene oder falsche E-Mail Adressen. Nix Hacken. Nur Dummheit.

1. Person A schnappt sich bei Aral eine Payback Karte und registriert diese im Nachgang online. Seine Mailadresse lautet: nutzer@gmx.de
2. Leider vertippt sich Person A dabei und gibt stattdessen die Mailadresse: nutzer@gmnx.de ein. Weil Person A dicke Finger hat, und das m neben dem n liegt.

Hier kommt der fatale Fehler seitens Payback: Es wird KEINE Bestätigung der Mailadresse gefordert. Nix. Die Adresse nutzer@gmnx.de ist nun hinterlegt.

3. Person B registriert sich die Internetseite gmnx.de und gibt dort an dass sämtliche Mails die an irgendwas@gmnx.de geschickt werden bitte an sein Postfach gehen mögen. Kein Problem.

4. Nun kann sich Person B von allen (!) Kunden die sich bei der Adresseingabe vertippt haben, die Nutzerdaten per Passwort vergessen anfordern lassen.
Jeder kann sich nun ausmalen wieviel % der Millionen Paybackkonten eine gmx Adresse nutzen und wieviele 0,00% den Fehler bei der EIngabe gemacht haben.
Die Daten sind potenziell nun frei verfügbar für die Person, der die fehlerhafte Domainseite gehört.

Alternative:
Payback Nutzer hat sich vor 15 Jahren bei Payback registriert, mit einer uralten Mailadresse. Mailanbieter hat irgendwann das Postfach aufgrund inaktivität gelöscht.
Person B kann nun also durch Recherche und Try&Error das Netz abgrasen nach irgendwann genutzten Mailadressen, versuchen diese erneut zu registrieren und dann alle möglichen Anbieter per Passwort vergessen abzufragen. Evtl ist der Datensatz ja irgendwo hinterlegt. -> Schwupps, Payback Konto "gehackt".

Was mich fassungslos macht:

1. Wie kann Payback ernsthaft die Mailadresse bei Eingabe nicht überprüfen ?? Klar, es ist keine Lücke seitens Payback, aber man muss damit rechnen dass einige Kunden einen Fehler machen.
2. Wie kann es sein, dass Mailanbieter einmal genutzte Mailadressen jemals wieder freigeben UND wie kann es sein, dass Mailanbieter sich ihre eigene Endung nicht in allen verfügbaren Varianten absichern um genau das zu verhindern ?

Ich bin mir absolut sicher, ein großer großer Batzen an angeblich "gehackten" Accounts wurde so gekapert.

Und das wird in den kommenden Jahren (Stichwort: abgelaufene Mailadresse) garantiert! noch mehr.
 
F

fantc

Erfahrenes Mitglied
03.06.2013
1.631
417
Das ist so nicht korrekt, Payback fordert schon seit längerem eine Bestätigung der Mail Adresse über einen Link. Man kann natürlich Payback auch ohne diese Bestätigung benutzen, das ist nicht sonderlich gut. Aber jedes Mal, wenn man sich einloggt, bekommt man eingezeigt, dass die Mailadresse noch bestätigt werden muss. So lange das nicht getan ist, kann man nur die Kundennummer als Login verwenden.

Die Registrierung von Vertipperdomains oder alten Adressen mag zwar möglich sein, aber ich glaube kaum, dass das überhaupt eine Rolle spielt, bei den geklauten Punkten. Ein halbwegs aktiver Payback Nutzer, der 50-150 Euro oder mehr im Jahr sammelt und dafür eCoupons etc. aktiviert (man lies ja oft über solche geklauten Beträge), wird doch frühzeitig bemerken, dass er überhaupt keine Mails von Payback bekommt. Oma Erna, die wieder App noch eCoupons benutzt und nur die Karte vorzeigt, fällt ja eher nicht ins Beuteschema der Hacker.

Ich bin nachwievor der festen Überzeugung, dass das Problem im großen Stil geklaute E-Mail Listen und Passwörter aus anderen Datenlecks sind (und auch zu einfache Passwörter) und Fremde auf die E-Mail Konten der Betroffenen Zugriff hatten.
 
N

nacho.gll

Erfahrenes Mitglied
10.03.2017
660
520
Leoben, AUT
  • Like
Reaktionen: InsideMUC und allesmieter
Um antworten zu können musst
du eingeloggt sein.
Oben Unten