ANZEIGE
Zuletzt bearbeitet:
Meilen(Punkte)verwaltungsprogramm
- Starter*in Magellan
- Datum Start
ANZEIGE
Du hast ihn bestimmt schon einige male in den Foren gelesen, er taucht aber meißt unter verschiedenen Nicks auf.. sehr komische Type.. vorallem in seinem eigenen Forum betreibt er Nickhopping das seinesgleichen sucht..
Achtung! Programm schickt Daten unverschlüsselt
Das Tool schickt die zum Abfragen der Accounts notwendigen Daten (Benutzername/Passwort bzw. PIN) unverschlüsselt (für die Geeks: per HTTP-GET-request, also über die URL!) an Miles and Points - Startseite (m20s14db.ispgateway.de), von wo sie dann an den jeweiligen Anbieter (payback, M&M) weitergeleitet werden.
Zum einen geben die Nutzungsbedingungen des Tools keinerlei Aufschluss darüber, ob, wo, wie und wofür die Login-Daten außerhalb des eigenen PCs gespeichert werden. Zum anderen führt das Tool die verschlüsselten (https/SSL) Logins von Payback, M&M & Co. ad absurdum, indem es die Nutzerdaten unverschlüsselt ins Netz bläst.
Ich ändere jetzt erstmal meinen M&M-Pin und sage: Finger weg....
Das Tool schickt die zum Abfragen der Accounts notwendigen Daten (Benutzername/Passwort bzw. PIN) unverschlüsselt (für die Geeks: per HTTP-GET-request, also über die URL!) an Miles and Points - Startseite (m20s14db.ispgateway.de), von wo sie dann an den jeweiligen Anbieter (payback, M&M) weitergeleitet werden.
Zum einen geben die Nutzungsbedingungen des Tools keinerlei Aufschluss darüber, ob, wo, wie und wofür die Login-Daten außerhalb des eigenen PCs gespeichert werden. Zum anderen führt das Tool die verschlüsselten (https/SSL) Logins von Payback, M&M & Co. ad absurdum, indem es die Nutzerdaten unverschlüsselt ins Netz bläst.
Ich ändere jetzt erstmal meinen M&M-Pin und sage: Finger weg....
Zuletzt bearbeitet:
Das ist aus meiner Sicht eine echte Sauerei, hier werden also ganz offensichtlich die Daten zu den gesammelten Meilen mitgelesen, und die Vermutung liegt nahe, dass diese Daten dann auch gespeichert und ausgewertet werden.
Da braucht auf dem Server ja nur eine Sicherheitslücke sein (wie gut da so manche Technik funktioniert sieht man ja an den regelmäßigen Abstürzen des VFF) - und schon kann jemand den perfekten Datenklau von umfangreichen Vielfliegerdaten begehen.
Natürlich ohne (wie von Dir korrekt beschrieben) dass in den Nutzungsbedingungen auch nur irgendwo auf diese Art der Datenübertragung (und -speicherung) hingewiesen wird.
Ich erinnere mich ja noch an das Projekt von Randy, die seinerzeit ja auch eine Meilenverwaltung angeboten hatten - komplett webbasiert... da gab es eine entsprechende Versicherung über 1 Mio. US-Dollar für den Fall, dass mit dem Portal was schiefgeht und irgendwer fröhlich die Meilenkonten leerräumt.
Die Nutzungsbedingungen sind ja auch offensichtlich nur ein copy-and-paste-Produkt, siehe Quellenangabe am Ende.
Die Nutzungsbedingungen sind ja auch offensichtlich nur ein copy-and-paste-Produkt, siehe Quellenangabe am Ende.
Im Tool selbst kommt dann noch mal eine andere EULA, die aber genauso nichtssagend ist...
Meinem laienhaften rechtlichen Verständnis nach, reicht das Fehlen jeglicher Hinweise sogar für eine Abmahnung. Denn nach Bundesdatenschutzgesetz muss irgendwo dokumentiert werden, was mit den personenbezogenen Daten (aus meinem Nutzernamen und meinem Passwort lässt sich leicht ein Rückschluss auf die natürliche Person ziehen) gemacht wird...
Das geht ja noch weiter. Wenn sich die Software die Daten zieht, sind bei den Vielfliegerprogrammen ja auch die Flüge ersichtlich.
Mann kann also problemlos ein komplettes Bewegungsprofil erstellen, vom Buchungsverhalten mal ganz abgesehen...
Wenn man im Feld "Newsletter abonnieren" eine Emailadresse eingibt und das Bestätigungsfeld anklickt, wird das Downloadfenster geöffnet, ohne daß man das Häkchen bei "mit Nutzervereinbarung einverstanden" setzen mußte.
Zuletzt bearbeitet:
Schon gar nicht mit Weggefährten wie MaP und Zardi
Gegen Zardi habe ich jetzt überhaupt nichts einzuwenden, er argumentiert seine Position manchmal zwar auch ähnlich engagiert wie MaP - aber wirklich aus freien Stücken heraus einfach unverschämt wie MaP kenne ich ihn eigentlich nicht...
Aber - ist ja eigentlich hier nicht das Thema
Danke für die Aufklärung. Diese Frage, wie sicher sind die Daten, habe ich mir zuerst auch gestellt, als ich das Angebot gesehen habe. Und meine Vermutung hast Du bestätigt.
Ich werde einen Bogen um das "Meilenverwaltungsprogramm" machen.
Ich benutze seit kurzem StarMoney 7.0 zur Verwaltung u.a. meines M&M-Accounts und des °P-Kontos.
Frage an die Profis hier: Muss ich mir da ähnliche Sorgen machen, wenn ich mein Passwort im Programm hinterlege?
Oder kann man StarMoney als sicherheitstechnisch ausgereift betrachten?
Frage an die Profis hier: Muss ich mir da ähnliche Sorgen machen, wenn ich mein Passwort im Programm hinterlege?
Oder kann man StarMoney als sicherheitstechnisch ausgereift betrachten?
Ich kenne StarMoney nicht im Detail. Wenn aber nicht irgendwo fett in der Produktbeschreibung steht, dass alle Datentransfers verschlüsselt werden, dann geh besser vom Gegenteil aus.
Auf deren Website lese ich nur, dass Verbindungen zu Kreditinstituten gesichert werden. Von den Bonusprogramm-Anbietern lese ich da nix.
Guckst Du hier: StarMoney.de: Testen Sie 60 Tage StarMoney 7.0 kostenfrei und unverbindlich
Nachdem das primär eine Homebanking- und Kontoführungssoftware ist, glaube ich nicht, dass so ein Produkt sich mit ungeschütztem (Passwort-)Verkehr eine Blöße geben würde ...
Obwohl, mit IT geht ja bekanntlich alles...
@ Travelling Geek: Sorry, Dein Post kam erst, als ich schon fast fertig war....
Entwarnung: Die StarMoney-Programmierer wissen was sie tun. Im Gegensatz zu den Kerlen, die das im OP erwähnte Tool zusammen geschustert haben.
StarMoney überträgt die Benutzerdaten direkt an miles-and-more.com und das Ganze per SSL verschlüsselt. Die Daten werden also a) nicht durch einen fremden Server geschleust und b) auf dem Weg zum Empfänger verschlüsselt.
So gehts also auch
Warum dieses merkwürdige Miles-and-Points-Tool das nicht auch so macht, ist mir schleierhaft.
Naja, wenn Du eh die Abfrageroutine weißt, warum machst Du Dir dann die Mühe nochmal extra eine Art "Proxy" zum Mitlesen dazuzuprogrammieren?
Für mich ist das pure Absicht, auf der einen Seite gibt es das Programm kostenlos, aber man will im Gegenzug wohl fröhlich Daten sammeln.
Dass es auch kommerzielle Hintergedanken gibt, sieht man ja an dem kommerziellen Angebot für Firmen.
Nix gegen die Preisgabe von Informationen wie Wohnort, E-Mail-Adresse oder ähnliche beliebigem Käse, wenn ich dafür etwas gratis geboten bekommen.
Aber das (kommerzielle) Sammeln von Login-Daten ist dann doch noch mal ne ganz andere Nummer und eher in östlichen Gefilden beheimatet.
Sollte Destinations Touristik tatsächlich keine böse Absicht haben (was ich per se erstmal unterstelle), dann haben sie ihr Produkt zumindest ziemlich stümperhaft programmiert und auch kommuniziert.
ANZEIGE
![300x250]()
Was bin ich froh, dass ich StarMoney habe und solche Amateur-Sachen nicht benötige. Nachdem was ich hier lesen durfte, brauche ich die 40 EUR für StarMoney wohl nicht zu bereuen. Danke für eure Auskünfte.
Ist zwar nicht Thema in eigentlichen Sinne, ich will bloß noch sagen, dass ich StarMoney ziemlich geil finde. Ich kann in einem Rutsch alle Girokonten, Depot, Tagesgeldkonten, Hypothekenkredite und z.T. auch Kreditkartenkonten abrufen. Diese ständige Einloggerei bei den unterschiedlichen Banken hat nun endlich ein Ende. Klar Kauftipp von meiner Seite aus, wenn man mehr als 10 Konten zu verwalten hat.