ANZEIGE
die Fälle scheinen sich zu häufen, bzw keiner redet darüber? Jetzt wurden Meilen verwendet, illegalerweise, um Bestellungen bei buch.de zu tätigen. MM erklärt sich für nicht zuständig! Super!
LH-M&M-Prämienmeilen gestohlen
- Starter*in JZea
- Datum Start
ANZEIGE
die Fälle scheinen sich zu häufen, bzw keiner redet darüber? Jetzt wurden Meilen verwendet, illegalerweise, um Bestellungen bei buch.de zu tätigen. MM erklärt sich für nicht zuständig! Super!
Ist mir auch passiert. Möchte aber hier nichts mehr dazu sagen weil man schnell als Troll beschimpft wird. Bei Interesse Erfahrungsaustausch über PN
Wofür sollte M&M auch zuständig sein? Das wären sie nur, wenn das Problem auf ihrer Seite zu suchen ist. In aller Regel sind es aber die Kunden selbst, die ihre Anmeldedaten (und damit Meilen) "verlieren
Aus der Ferne ist es für M&M ja zudem unmöglich zu ersehen, ob die Abbuchung wirklich unerwünscht war und nicht vom Kunden selbst ausgelöst wurde.
genau da ist eben das Problem zu suchen! MM verfügt über KEIN sicheres Anmeldeverfahren und es genügt die Servicekartennummer mit einem Pin Generator zu "knacken" und man hat die Kombination. Oder warum glaubst ist plötzluch auf der Neuen Homepage die Serbicekartennummer NICHT mehr hinterlegt.
Was bekommst Du für solche Antworten? Wart mal bis es Dir passiert und Du Dir nicht bewusst bist, wie Deine Daten abgefischt wurden.
Worauf stützt sich Dein Wissen. des "in der Regel sind es die Kunden selbst"? Deine Erfahrung, oder was?
Was bekommst Du für solche Antworten? Wart mal bis es Dir passiert und Du Dir nicht bewusst bist, wie Deine Daten abgefischt wurden.
Worauf stützt sich Dein Wissen. des "in der Regel sind es die Kunden selbst"? Deine Erfahrung, oder was?
IMHO hat man nur zehn Anmeldeversuche, dann wird der Online-Login gesperrt (was nicht heißt, dass ich einen fünfstelligen PIN für eine gute Idee halte; aber die Wahrscheinlichkeit, den Code durch Brute Force herauszufinden, ist dann doch eher klein)
Gute Frage. Wenngleich ich sie im Zusammenhang mit leer geräumten Konten nicht verstehe. Denn um nach dem Login ein Prämienticket online zu buchen, muss ich die Kartennummer nicht mehr eingeben.
Siehe oben: Ich halte es für einigermaßen ausgeschlossen, dass Kriminelle durch stumpfes Ausprobieren an die Logindaten kommen.
Demnach bleibt nur noch das Abfischen der Daten beim Kunden selbst. Wahlweise durch Phishing (mir ist schon lange keine auf M&M zielende Kampagne mehr untergekommen), die Infektion des Rechners mit einem Keystrokelogger oder den Klau der Passwordatenbank eines anderen Onlinedienstes (was voraussetzt, dass der Anwender sein Passwort recycelt - was ich im Moment mit weitem, weitem Abstand für den wahrscheinlichsten Weg halte).
Das würde mich in der Tat irritieren, wenn ich das nicht nachvollziehen könnte.
Exakt. Meine Erfahrung. Gepaart mit der Tatsache, dass wir alle nur Menschen sind und entsprechend bequem beim Umgang mit so etwas lästigem wie IT-Sicherheit / Passwörtern.
Wenn Du meine älteren Posts hier im Thread liest, dann siehst Du, dass ich mir die Mechanismen von M&M durchaus angeschaut habe und sie wenig glorreich finde. Dennoch halte ich das System für "sicher genug", um nicht jedem dahergelaufenen Online-Kriminellen tonnenweise Accounts vor die Füße zu spülen. Von daher geht das Restrisiko IMHO auf die Kappe der Anwender.
Die Troll-Untersteller wurden aber doch recht flott eingebremst hier im Thread, einer hat seinen Post ja sogar gelöscht nach kurzer Zeit.
Die Gefahr geht also eher gegen null, meinste nicht?
ja, so einfach kann man es sich machen!
Du brauchst sehr wohl die Kartennummer, um z.B. bei nem Versender etwas zu bestellen!
Wie, wann und mit welchen Mechanismen Daten abgefischt werden scheint ja nicht so einfach zu kären sein, sonst wären die Löcher zu!
Warum werden bei der Kreditkarte hhtps Verfahren zum Login verwendet, beim normalen MM Konto nicht? Meilen = Bargeld!
Ich bin IT Laie, aber wenn ich 100% weiß, dass ich NIE mit Kartennummer und PIN (5Zahlen ist geradezu jämmerlich in der heutigen Zeit) mich einloggte und plötzlich damit Käufe getätigt wurden, bestimmt kein restrisiko übernehmen möchte, da nichts davon was du, vielleicht korrekterweise oben beschrieben hast, nachvollziehbar ist. Die Fälle passieren zu hauf! Genau wie Betrugsfälle mit CC Nummern---nur die Branche hält auch hier die Schadenssumme schön unterm Deckel.
Als IT Profi solltest Du wissen, mit wieviel hunderten, täglichen Hackerangriffen, gerade große Konzerne, LH gehört ja noch dazu, konfrontiert werden......leider!
Bislang wurde zumindest hier noch von keinem solchen Fall berichtet. Alle unberechtigten Abbuchungen passierten rein aus dem M&M-Konto heraus.
Doch, das ist sehr leicht zu erklären, woher massenhaft Logindaten stammen. Nachdem es aber niemals dazu kommen wird, dass jeder Betreiber eines Onlinedienstes (hier rede ich nicht von M&M) seine Systeme vollständig absichert, wird es auch weiterhin zu "Datenpannen" kommen.
Anwender machen es den Kriminellen unnötig leicht, wenn sie das gleiche Passwort auf mehr als einer Seite verwenden und dieses Passwort zudem leicht zu knacken ist.
M&M verwendet sehr wohl auf der Anmeldeseite (und allen folgenden Seiten) TLS (https). Und das schon seit vielen, vielen Jahren.
Davon abgesehen halte ich es für unwahrscheinlich, dass jemand auf diesem Weg (mitschneiden des Datenverkehrs zwischen einem einzelnen Browser und dem M&M-Server) an die Logindaten kommt.
Nochmal: Wenn ein Angreifer PIN-Codes offline auf seinem Rechner im Keller durchtesten kann, dann sind fünf Ziffern ein Witz. Wenn er es nur online kann (wie im Fall von M&M) und nach zehn Fehlversuchen raus ist, ist das Risiko überschaubar.
Zudem gibt es neben dem PIN ja ein Passwort. Kannst Du in Deinem konkreten Fall ausschließen, dass dieses Passwort von Dir auf keiner anderen Website/in keiner anderen App dieser Welt verwendet wird?
Das will ich gar nicht ausschließen. Dennoch bleibt es hier zumindest zu dem Thema vergleichsweise ruhig.
Der Vergleich hinkt. Zum einen ist das Schadenpotential bei KK-Nummern um ein Vielfaches größer als bei Vielflieger-/Vielschläferprogrammen. Entsprechend ist auch der Missbrauch erheblich häufiger. Zum anderen gibt es beim KK-Missbrauch oftmals die Möglichkeit für Visa/MC/Amex, den Schaden auf den Händler abzuwälzen.
Richtig, ich habe eine ganz gute Vorstellung davon. Und von daher gehe ich davon aus, dass LH/M&M ihre Sicherheitsverfahren so wählen, dass sie ein gesundes Maß halten zwischen Nutzersicherheit und Bedienerfreundlichkeit.
Nehmen die Missbrauchsfälle zu, wird sich M&M sehr rasch nach weiteren Möglichkeiten der Absicherung umschauen.
Ist mir als Angreifer nur die Kartennummer / der Nutzername des M&M-Nutzers bekannt, muss ich PIN/Passwort stumpf durchprobieren beim Login, um ins Konto zu kommen.
Siehe vorherige Antwort: Dann gibts noch das Passwort
Das erledigt moderne Schadsoftware, wenn sie auf dem Rechner eines M&M- oder Onlinebanking-Kunden installiert ist. Die übermittelt Kontostände "nach Hause", nachdem sich der legitime Kontoinhaber angemeldet hat.
In diesem Fall hat der Angreifer auch gleich die Logindaten frei Haus geliefert bekommen.
Im Fall des "Beifangs" (Anwender setzt gleiches PW auf verschiedenen Webseiten ein, eine dieser Seiten wird gehackt, Nutzerdatenbank fällt in die Hände von Kriminellen) muss sich der Kriminelle halt einmal einloggen und nachschauen. Auch das könnte man automatisieren.
Das ist MIR zuviel Konjunktiv. Der Querbezug von "IT bei einem Unternehmen im Allgemeinen" und "IT-Sicherheit beim gleichen Laden" ist ungefähr so sinnvoll wie ein Rückschluss von "Qualität der Telefonvermittlung bei Daimler" auf "Qualität der Bremssättel der neuen C-Klasse".
Dreh den Gedankengang mal um: Gäbe es bei M&M einen eklatanten Bug rund um die Sicherung der Logindaten, dann wären die Zeitungen voll davon und dieses Forum hier würde explodieren. Das wäre ein Thema für die 20.00-Uhr-Ausgabe der Tagesschau. Weil es schlicht und einfach Millionen von Kunden beträfe. Nachdem nichts dergleichen bekannt ist, können wir wohl davon ausgehen, dass es Einzelfälle betrifft und kein strukturelles Problem bei M&M für die geklauten Meilen verantwortlich ist (sondern das Problem im Herrschaftsbereich der Anwender zu suchen ist, auch wenn das eine unbequeme Wahrheit ist)
bloss weil Du den Quark stets wiederholst bleibts Käse. Warum sind die Zeitungen nicht voll vom Kreditkartenmisbrauch? Gerade Dir würde ich es mal wünschen....obwohl ichs normalerweise nicht tu, damit Du vielleicht mal erkennst wie leicht es gehen kann. Die Foren sind voll von Misbrauchsfällen bei MM etc...auch hier via PN. Die wollen sich halt nicht blöd im Forum anreden lassen und kochen die Suppe alleine ab. Was wahrscheinlich besser ist, konstruktives mitander scheinbar Fehlanzeige, solange es so kluge, wissende(all) gibt
wrum sollten Zeitungen mit einer Thematik voll sein, die der "normale" Bürger gar nicht verstehen, umreissen kann, wenn selbst Ermittler Schwierigkeiten haben zu verstehen um was es bei Meilen und Punkten geht oder gehen kann---da ist ein Einbruch mit Hebelwerkzeug eher zu verstehen
Das Knacken von jeder Art von Bezahlsystemen wird sicher zunehmen.
ABER: Richtige Kriminelle (also die wirklich argen, die wo man in amerikanischen Serien so sieht, so mit Pistole und CIA-Technik) werden nicht einen riesen Aufwand mit großen Risiko betreiben um sich in MM-Accounts reinzuhacken und dann ein paar Bestellungen mit Meilen bei Buch.de aufzugeben.
ABER: Richtige Kriminelle (also die wirklich argen, die wo man in amerikanischen Serien so sieht, so mit Pistole und CIA-Technik) werden nicht einen riesen Aufwand mit großen Risiko betreiben um sich in MM-Accounts reinzuhacken und dann ein paar Bestellungen mit Meilen bei Buch.de aufzugeben.
Warum sind sie nicht voll mit Meldungen über Blechschäden im Straßenverkehr? Weil es zuviele gibt davon und es somit keinen (mehr) interessiert.
Ein riesiges Datenleck, bei dem hunderttausende oder mehr Kontodaten in fremde Hände fallen, wird sehr wohl gemeldet - der anschließende Missbrauch jeder einzelnen Karte jedoch nicht mehr.
Hast Du Links, die auch unwissende wie mich erhellen?
lesen kannst doch selber...FT, PN etc und die Summen, sorry wirreden nicht von 100€
[Sarkasmus an]
Genau. Und weil es ausschließlich unterbelichtete Strafverfolger gibt, kommen die auch nicht an wirklich gut geschützte Online-Foren heran, in denen Drogen und Waffen gedealt werden. Die Kriminellen machen seit Ja-hr-en, was sie wollen. Die verstehen einfach nix von Kryptographie, diese Bullen. Und schon gar nicht von so was kompliziertem wie Kundenbindungsprogrammen.
Früher war einfach alles besser. Da waren die Gummistiefel noch aus Holz, das Freibier hat eine Mark gekostet und der Dorfpolizist hatte die Straßenverkehrsordnung im Gedächtnis parat.
[Sarkasmus an]
Zum Thema: Zeitungen sind voller Meldungen zu komplizierten Themen (wie viele Deiner Freunde/Familienmitglieder können im Ansatz wiederholen, worum es in den Snowden-Dokumenten ging? Die gehören mit zum (technisch) kompliziertesten, was jemals in Hauptnachrichten vermeldet wurde) - wenn diese Themen relevant sind für die breite Bevölkerung. Nachdem z.B. der Tagesschau selbst das vergleichsweise winzige Datenleck bei DuMont eine Meldung wert war, gehe ich jede Wette ein, dass sie ein Leck bei einem der größten Kundenbindungsprogramme der Welt ebenfalls melden würde.
wieviele Strafanzeigen musstest Du schon stellen? Was hast Du denn an realen Erfahrungen diesbzgl.? NULL! Spekulation und Mutmassungen. Du bist ja glücklicherweise (bisher) verschont--ich verabschiede mich nun, neue Sachverhalte und Erfahrungen kommen hier öffentlich wahrlich nicht zu Stande....PN welcome
Ich bin seit elf Jahren auf FT - und kann mich an keinen einzigen (!) Thread erinnern, der in Bezug auf M&M etwas von Missbrauch durch Kriminelle berichtet.
Dafür gibt es drei Möglichkeiten:
- meine Fähigkeit, Texte zu erfassen, ist unterentwickelt
- mein Gedächtnis ist mies
- das dortige M&M-Forum ist nicht voller Threads zu dem Thema
Von daher: Hast Du ein paar Links? Die dürften sich angesichts der von Dir angedeuteten schieren Masse an Berichten ja leicht finden lassen.
das zeigt Deine Argumentation..das Wort ausschliesslich wurde NIE benutzt.
ANZEIGE
![300x250]()
Die einzige Spekulation, die ich hier entdecken kann, ist Deine Spekulation, dass ich mit all dem keine reale Erfahrung habe.