ACHTUNG Daten Leck bei Miles and More
- Starter*in Reakawon
- Datum Start
ANZEIGE
Wieso der Bug sollte ja weg sein, daher sehe ich keine Sicherheitsgründe, die dagegensprechen, high level über die Ursachen zu informieren.
Es ist eine vertrauensbildende Maßnahme wenn man als Unternehmen auch ein paar Hintergrundinfos liefert. M&M dürfte das aber wahrscheinlich egal sein.
Ist man bei M&M jetzt paranoid geworden? Bei jedem Öffnen der M&M-App hier in Thailand, egal ob über Hotel-WLAN oder lokales 4G, erhalte ich die Meldung:
Nach einem erneute Login mit Benutzername und Kennwort habe ich dann ganz normal Zugriff auf mein Konto. Jeder weitere Aufruf der App resultiert dann wieder in dem gleichen Fehler. War das schon immer bei der App-Nutzung im Ausland? Kann mich da eigentlich nicht dran erinnern.
Nach einem erneute Login mit Benutzername und Kennwort habe ich dann ganz normal Zugriff auf mein Konto. Jeder weitere Aufruf der App resultiert dann wieder in dem gleichen Fehler. War das schon immer bei der App-Nutzung im Ausland? Kann mich da eigentlich nicht dran erinnern.
Ich kann auf dem Handy mit der App meine Daten sehen, ist alles ok. Über den PC kann ich mich nicht einloggen. Nach Servicekartennummer und PIN kommt immer "es ist ein technisches Problem aufgetreten. Anruf bei M+M nötig oder hatten das andere User auch und es wurde quasi automatisch gefixt?
Mal im Inkognitomodus probieren. Wenn es da funktioniert am besten mal die Cookies für die M&M Seite löschen.
Antwort vom hessischen Datenschutzbeauftragten.
Erwähnenswert sei noch, dass der angegeben Link nicht funktioniert.
Die Dame scheint mir reichlich naiv zu sein. M&M versichert gerne viel wenn der Tag lang ist.
Wer sich neu in diesem Thema bewegt, kann auf dieser Website prüfen, inwieweit seine Daten auf andere Weise bereits im Umlauf sind.
Nein, das ist Kundenservice 99% statt 1% Nerdbefriedigung [emoji6], oder mit anderen Worten das wirtschaftlich sinnvolle Pareto-Prinzip.Das ist dann halt Kundenservice 1.0 nicht 4.0 und schon gar kein 5 Sterne
Auch wenn diese Seite vertrauenswürdig scheint, und schon lang existiert, halte ich es für beinahe wahnsinnig, ein wichtiges Passwort dort einzugeben.
Erinnert an den alten „Check if your credit card number has been stolen. Enter number here: ...“-Gag.
Würde ich auch niemals machen. Besserer Vorschlag: die Pwned Password List herunterladen, in KeePass das AddOn HIBPOfflineCheck (https://github.com/mihaifm/HIBPOfflineCheck) herunterladen und integrieren und aus KeePass heraus einen Offline Password Check gegen die Pwned Password List fahren.
So gern ich HIBP mag und Troys Arbeit zu schätzen weiß: Im Fall von M&M führt der Tipp ins Leere. Denn weder kann man nach Kundennummern suchen, noch gibts einen Dump mit geklauten M&M-Logindaten, den er auswerten kann.
Hast Du Dir mal durchgelesen, wie die Site sicherstellt, dass Deine Passwörter nicht komplett übertragen werden? Sondern lediglich die ersten fünf Stellen des SHA-1-Hashes. Dein Browser speichert den kompletten Hash Deines Passworts zwischen und gleicht ihn dann mit den vom Server zurückgeschickten Hashes ab, die ebenfalls die gleichen ersten fünf Stellen haben (im Schnitt gut 470 Hashes pro Anfrage).
Dass dem so ist, kannst Du leicht mit den Entwickler-Tools nachvollziehen, die Teil Deines Browsers sind...
Erdacht hat dieses Prinzip zur Anonymisierung ein Entwickler von Cloudflare, daher gibts bei denen die technischen Details: https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/
ANZEIGE
![300x250]()
Selbst wenn du (und vielleicht ich) in der Lage sind, das zu verstehen und nachzuvollziehen:
- für mich ist und bleibt es generell keine gute Idee, sein Passwort irgendwo einzugeben, wo es nicht dem originären Zweck dient
- das versteht höchstens ein ITler und seine Freunde
- die Seite weckt eine trügerische Sicherheit, die einfach nicht besteht
Ich bleibe dabei: man sollte sein Passwort nirgendwo eingeben, um zu prüfen ob es einem Datenverlust irgendwo zum Opfer gefallen ist. Ungefähr alle anderen Regeln zum Umgang mit Passwörtern sind besser und wichtiger.