17
callmobile – Werden da etwa Passwoerter im Klartext gespeichert? [Update]
Ich bin neulich zu callmobile gewechselt, weil die mit einer aeussert attraktiven Datenflat werben. Diese umfasst dort 500 MB in HSDPA-Geschwindigkeit und nicht wie sonst ueblich nur 200 MB. Die Kosten sind dabei allerdings nicht hoeher als sonst wo, sondern liegen mit 10 Euro sogar gleichauf. Als ich in Erfahrung brachte, dass callmobile auch noch im Netz der beiden groessten Mobilfunkbetreiber T-Mobile und Vodafone funkt, war die Sache fuer mich klar und sie hatten mich als neuen Kunden gewonnen.
Das war vor 6 Tagen. Nachdem die inzwischen die Kohle von meinem Konto abgebucht haben, ich aber immer noch nichts von meiner Karte gesehen habe, dachte ich mir, dass ich mich bei denen mal melde. Prima: callmobile bietet einen Live-Chat mit einem Mitarbeiter an. Wartezeit: keine zwei Minuten – ich bin begeistert.
Dort erzaehlte man mir dann, dass meine Karte noch nicht freigeschalten wurde. Der Grund dafuer sei laut dem Mitarbeiter, dass der Kaufbetrag noch ausstuende. Was die mit meinem Geld gemacht haben? Man weiss es nicht.
Das war aber noch lange nicht das wirklich Dramatische an der Sache. Zur Ueberpruefung meiner Identitaet fragte mich der Mitarbeiter nach meiner Telefonnummer, und – festhalten! – nach den ersten drei Buchstaben meines Passworts. – WHAT? Kinders, ihr speichert doch nicht allen ernstes die Passwoerter im Klartext. Okay, ich versuche jetzt mal nicht den Teufel an die Wand zu malen. Es kann ja auch sein, dass neben einem MD5-Hash zur Validierung des eingegebenen Passworts die ersten drei Zeichen im Klartext in der Datenbank abgelegt werden. Klar, das waere moeglich. Aber bin ich als Kunde da jetzt beunruhigt? – Ja!
Aus diesem Grund geht jetzt eine eMail raus, in dem ich mir offiziell und hochheilig versprechen lasse, dass die Passwoerter nicht und unter keinen Umstaenden im Klartext gespeichert werden. Das ist wohl die offiziellere Methode als das im Chat nachzufragen. Die Antwort werde ich euch veroeffentlichen sobald ich sie habe. Dennoch, seit erstmal gewarnt! Die Sache mit den Passwoertern gefaellt mir nicht!
Update:
Inzwischen habe ich eine Antwort von callmobile erhalten. Diese lautet im Originaltext:
Sehr geehrter Herr Mueller,
vielen Dank für Ihre E-Mail.
Alle persönlichen Daten, die zwischen Ihnen und callmobile gesendet werden, sind SSL-verschlüsselt. Diese Verschlüsselung stellt sicher, dass niemand Ihre Daten lesen kann. Alle Daten werden verschlüsselt, bevor sie gespeichert werden.
Auch der Kundenservice Chat wird über eine gesicherte HTTPS Verbindung realisiert.
Um Sie zu identifizieren nennen Sie uns die ersten 3 Stellen Ihres Kennwortes. Unser System gibt die Meldung “Kundenkennwort verifiziert” oder “Kundenkennwort fehlerhaft” heraus. So ist eine größtmögliche Datensicherheit gewährleistet.
Nähere Informationen hierzu finden Sie auch auf unserer Internetseite:
https://www.callmobile.de/services/privacy.htm
[...]
Mit freundlichen Grüßen
callmobile.de Kundenbetreuung
xxx
Das soll heissen: Die Daten werden zwar verschluesselt gespeichert, aber nicht als Hash. Dadurch ist es technisch moeglich die Daten im Klartext wiederherzustellen. Man sollte also vorgewarnt sein. Wenn der Schluessel irgendwem in die Haende faellt – und sei es einem Mitarbeiter von callmobile der das grosse Geld mit dem Verkauf von Daten wittert – dann liegen die Passwoerter faktisch im Klartext vor. Man sollte also bei callmobile ganz besondere Vorsicht walten lassen und zwingend(!) ein individuelles Kennwort vergeben.
4
Deutsche Verlage liegen falsch …
… wenn sie der Auffassung sind, dass Google Geld bezahlen sollte um ihre Inhalte zu indizieren. Doch genau das fordern sie.
Eigentlich ist es ja absurd. Google beschert diesen Seiten tausende Besucher am Tag. Diese Besucher sehen sich die Werbung an und die Verlage profitieren davon. Eigentlich eine Symbiose wie sie schoener nicht sein koennte. Doch nun reihen sich die Verlage in die Reihen der Musikindustrie und anderen geldgeilen Industrien ein und wollen mehr. Immer mehr und noch mehr wollen sie.
Liebe Verlage, bitte schaut doch mal in eure Logs. Wie viele User kommen von Google? Und ihr koennt euch echt leisten diese Leserschaft zu verlieren? Ich bitte euch. Ach und wenn dem so ist, dann darf ich euch gerne mit robots.txt vertraut machen. Damit sollte euch geholfen sein. Nur zu, bedient euch – es ist kostenlos. Sperrt Google aus und verliert eure Leser. Aber haltet doch bitte endlich euren Rand.
31
welt.de aus News-Reader verbannt
Neulich habe ich davon berichtet, dass mir die Overlay-Video-Werbung von welt.de wahnsinnig auf die Nerven geht. Ich habe mich in der Zwischenzeit per eMail an die Redaktion gewandt und hinterfragt ob sie diese Form der Werbung aufrecht erhalten wollen und ihnen in Aussicht gestellt dass sie mich, sollten sie an dieser Werbeform festhalten, als Leser verlieren werden.
Da ich auch nach zwei Wochen Warten keine Antwort bekommen habe verabschiede ich mich dann mal von welt.de in meinem RSS-News-Feed. Weiss jemand geeignete Alternativen im Bereich Technik/Wissenschaft?
19
Google und die leidige WLAN-Affaere
Also ich habe mich bisher ja aus der Affaere rund um das Datenschutzdillema in Verbindung mit Google Street View herausgehalten, aber jetzt muss ich mich doch mal einmischen und eine Lanze für Google brechen. Wie bekannt hat Google beim Aufzeichnen der Bilder fuer ihr Street-View-Projekt auch Standorte von WLAN-Stationen aufgezeichnet um seinen Nutzern auch ohne GPS eine ungefaehre Standortbestimmung zu ermoeglichen. Das ist ja jetzt ein alter Hut. Dass sie dabei, ob versehentlich oder nicht, auch WLAN-Daten aufgezeichnet und gespeichert haben, ist auch nichts neues. Auch dass sich Google fuer alles oeffentlich entschuldigt und die Aufzeichnungen eingestellt hat, sollte bekannt sein. So weit so gut. Nur darf Google die Daten nicht loeschen, weil verschiedene Datenschuetzer und Regierungen, die sonst uebrigens meist fuer Loeschen sind, die Daten einsehen wollen. Und was ist das Ergebnis? – Google hat auch Passwoerter und eMail-Inhalte gespeichert. Wirklich, echt, ganz ehrlich! Das gibt es hier nachzulesen.
Das ist ja der Hammer! Irre. Muss man sich erst mal auf der Zunge zergehen lassen … Google, du bist so boese! Damit hat ja keiner rechnen koennen, also wirklich nicht. Auch Passwoerter. Ihr fiesen … mir fehlen die Worte! [/Ironie]
Und dafuer hat es jetzt Experten gebraucht, die das auswerten? Ich weiss gar nicht ob ich lachen oder weinen soll. Wer so, entschuldigt aber anders kann man es nicht sagen, _dumm_ ist und sich ueber ein ungesichertes(!!!) WLAN einwaehlt und dann auch noch Dienste benutzt, die Passwoerter im Klartext(!!!) versenden einsetzt, der braucht sich nicht beschweren dass ihn jemand abhoert. Kinder, was soll der Scheiss? Wenn ihr keine Ahnung von Technik habt, dann lasst die Finger davon oder informiert euch vorher. Und jammert hinterher nicht permanent rum, dass ihr dies oder jenes nicht gewusst habt und wie boese doch die anderen sind. Ich kann es nicht mehr hoeren!
9
Welt.de – Overlay-Werbung nervt
Also was ich ja gar nicht leiden kann ist extrem schlecht platzierte Werbung. Welt.de hat diesbezueglich gerade den Vogel abgeschossen und mir folgende Werbung praesentiert:
Das Ding ist ein waschechtes Video mit Bild und Ton(!) und bedeckt den kompletten Text. Dazu speichere ich keine Cookies und bekomme diese Werbung bei jedem(!) Seitenaufruf auf Welt.de praesentiert. Ironischerweise mit dem Text “Nach einem kurzen Spot geht’s weiter …”. Dreister geht es ja wohl kaum noch, oder?
Ich lese ja normalerweise gern deren Artikel und habe auch verschiedene Feeds abonniert, nur wenn die diese Form der Werbung nicht zuegigst wieder abstellen, dann ist Welt.de fuer mich gestorben.