Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Ergebnis 1 bis 4 von 4

Thema: Pollin Datenleck

  1. #1
    Registriert seit
    23.03.2006
    Ort
    Thüringen
    Beiträge
    1.983
    Danke
    161
    Erhielt 276 Danke für 197 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hi,
    das Spamaufkommen in einem meiner Postfächer ist seit einigen Monaten sehr hoch, interessant ist für mich das in einigen Mails konkrete Daten auftauchten die normalerweise keiner ohne weiteres wissen kann.
    Nun hatte ich gestern eine vermeintliche Spam Mail von Pollin Elektronik, einem Max Pollin. Gut, das übliche, Tonne. Beim Heise lesen wurde ich stutzig, die hatten oder haben ein Datenleck. Das das irgendwann irgendwem passieren kann, auch bei sauberer Absicherung ist klar.
    Bedenklich ist in diesem Zusammenhang, das hier einfach per Mail auf solche unwichtigen Dinge hingewiesen wird. Auch wenn das ein Billigladen ist wäre eine schriftliche Mitteilung schon ganz gut gewesen.
    Am bedenklichsten finde ich aber einen Absatz in der Mail, das das Passwort, welches ich im Shop verwendet habe doch auch überall woanders geändert werden sollte wo ich es noch verwende. Das ist zwar bei mir nicht ganz so kritisch, da ich mit meinen Passwörtern sehr verschieden bin, ich habe da beispielsweise auch verschiedene Sicherheitslevel. Beim näheren Nachdenken klingt das aber für mich so als ob die Jungs die Passwörter im Klartext gespeichert haben. Und das geht ja nun gar nicht.
    Jede noch so verschissene Software hat einen Generator für Hashwerte, und letzterer wird gerade mal benötigt und gespeichert - damit sind meine Shop Passwörter eigentlich als sicher zu betrachten. Der Angreifer hätte bei jedem der erbeuteten Datensätze also erst einmal richtig Arbeit, sofern die Mathematik der Verschlüsselung bekannt ist, und die müsste mit erbeutet werden.
    Irgendwie ist das alles ganz schön irre, jedenfalls nur mal der Hinweis von mir, wenn Ihr einen Account bei Pollin habt und der Max hat Euch geschrieben das ist zwar eine datenschutzrechtliche Bankrotterklärung aber ernstzunehmen.

    Gruß
    Mario
    Zitieren Zitieren Pollin Datenleck  

  2. #2
    Registriert seit
    29.03.2004
    Beiträge
    5.378
    Danke
    134
    Erhielt 1.588 Danke für 1.160 Beiträge

    Standard

    Je nach Hashverfahren reicht es für die Sicherheit nicht aus, nur den Hashwert zu speichern. Wählen zwei Benutzer das Passwort "1234", dann besitzen diese auch den gleichen Hashwert. Jetzt gibt es vorberechnete Tabellen mit Hashwerten für bekannte Verfahren, aus denen ich direkt ohne zu rechnen aus dem Hashwert das Passwort bekomme. Um das zu verhindern, wird üblicherweise dem Passwort etwas Zufall (sog. Salz) beigemischt. Dieser Zufallswert muss dann zusammen mit dem Passworthash gespeichert werden. Dann haben zwei Passwörter "1234" nicht mehr den gleichen Hashwert, und solche Tabellen laufen ins Leere.
    Die Genialität einer Konstruktion liegt in ihrer Einfachheit – Kompliziert bauen kann jeder.

    (Sergei Pawlowitsch Koroljow, sowjetischer Konstrukteur von Raketen und Weltraumpionier)

  3. #3
    mariob ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    23.03.2006
    Ort
    Thüringen
    Beiträge
    1.983
    Danke
    161
    Erhielt 276 Danke für 197 Beiträge

    Standard

    Hi,
    @Thomas, schon klar, auch das viele Passwörter nicht mal einfach Brute Force sicher sind. Ich kenne da genug Leute deren Passwörter in sensiblen Bereichen einfach nur eine Katastrophe sind. Und das sind auch welche dabei die es eigentlich wissen müssen.
    Und generierte Tabellen sind ja schonmal nichts weiter als eine etwas erweiterte Form des Wörterbuchangriffs bei bekannter Hashberechnung.
    Und genau das meinte ich mit Aufwand bei der Angreiferseite, die Jungs müssen Arbeit kriegen den Schrott zu knacken, dazu ist auch ein gewisser Programmieraufwand notwendig. Wenn der Aufwand so hoch wird und auch die dazu benötigte Rechenleistung groß genug das es sich nicht mehr lohnt wird es sicher. Je mehr Aufwand, desto sicherer. Ganz einfach.
    Und so wie das für mich klingt haben die Angreifer das im Pollin Fall (und wer weiß wo sonst noch) besonders leicht gehabt. Man kann nur hoffen, das, wenn der Laden das überlebt, daraus die richtigen Schlüsse gezogen werden und die passenden Reaktionen folgen.

    Gruß
    Mario

  4. #4
    Registriert seit
    25.02.2010
    Beiträge
    570
    Danke
    34
    Erhielt 110 Danke für 100 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Was man ihnen aber zugute halten muss, sie haben wenigstens reagiert und die Passwörter zurückgesetzt sowie die Kunden informiert. Ich bin mir nicht sicher ob es bei anderen Firmen nicht einfach unten Teppich gekehrt wird um den Schein der Sicherheit zu waren-
    Holger

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •