ANZEIGE
Ich hab mehrere Einträge, und trotz bekannter Inputs bisher noch keine sinnvollen Daten gefunden.
Priceless Specials
- Starter*in Droggelbecher
- Datum Start
ANZEIGE
Ich hab mehrere Einträge, und trotz bekannter Inputs bisher noch keine sinnvollen Daten gefunden.
Die Nummern sind 20-stellig, könnte theoretisch also Kartennummer und Ablaufdatum sein.
Bei mir waren Fidor, Curve und Advanzia drin.
Fidor und Curve in der App temporär gesperrt, bei Advanzia angerufen und Karte sperren lassen (nach ca. 4 Minuten war jemand an der Strippe).
Werde mal abwarten, was passiert. Dann ggf. die restlichen Karten entsperren oder neue Karten(~nummern) anfordern.
Fidor und Curve in der App temporär gesperrt, bei Advanzia angerufen und Karte sperren lassen (nach ca. 4 Minuten war jemand an der Strippe).
Werde mal abwarten, was passiert. Dann ggf. die restlichen Karten entsperren oder neue Karten(~nummern) anfordern.
Mein Vorschlag: Nicht mydealz sondern diesen Thread nochmal aufmerksam lesen. Dann werden Sie geholfen.
Ist Mastercard für sowas eigentlich versichert? Sprich: Bekomme ich die Kosten für einen Kartentausch erstattet?
Meine Erkenntnis:
- Die KK-Daten in Spalte A sind so, wie sie auch im Frontend des Priceless-Seite gezeigt wurden (die kleine stilisierte Mastercard oben rechts)
- Spalte Q "additional customer cards" sind Referenznummern zu der/den hinterlegten Karte. Auf MC Seite wird diese Referenz-Nummer dann hinter der echten KK-Nummer hinterlegt sein. (Gibt Payment-Systeme, die machen das ähnlich, Hyatt USA nutzt sowas in ihrem Call Center z. B.) Man erspart sich für den Priceless Bereich dann PCI DSS Auflagen (was dann dazu führt...).
-> Demnach keine Kreditkartendaten geleakt. Dennoch natürlich inakzeptabel.
Generell ist das ganze wohl auch schrottig programmiert, es fanden bei den Daten praktische keine Plausibilitätsprüfungen statt (bei Ort kann irgendwas eingegeben werden). Im Februar 2018 konnte ein Spammer über 4 Tage knapp 1.000 Accounts anlegen. (Sollte sich mal ein Profi anschauen. Ich wette, das kam nicht über die Seite sondern über einen Datenbank-"Hack". Somit war das nicht der erste "Einbruch".
- Die KK-Daten in Spalte A sind so, wie sie auch im Frontend des Priceless-Seite gezeigt wurden (die kleine stilisierte Mastercard oben rechts)
- Spalte Q "additional customer cards" sind Referenznummern zu der/den hinterlegten Karte
. Auf MC Seite wird diese Referenz-Nummer dann hinter der echten KK-Nummer hinterlegt sein. (Gibt Payment-Systeme, die machen das ähnlich, Hyatt USA nutzt sowas in ihrem Call Center z. B.) Man erspart sich für den Priceless Bereich dann PCI DSS Auflagen (was dann dazu führt...).-> Demnach keine Kreditkartendaten geleakt. Dennoch natürlich inakzeptabel.
Generell ist das ganze wohl auch schrottig programmiert, es fanden bei den Daten praktische keine Plausibilitätsprüfungen statt (bei Ort kann irgendwas eingegeben werden). Im Februar 2018 konnte ein Spammer über 4 Tage knapp 1.000 Accounts anlegen. (Sollte sich mal ein Profi anschauen. Ich wette, das kam nicht über die Seite sondern über einen Datenbank-"Hack". Somit war das nicht der erste "Einbruch".
Warum nur User anlegen wenn man eh DB Zugang hat. Account-Erstellung ist ja z.B. mit Selenium in ein paar Minuten automatisiert. Und die paar Captchas kosten ja auch nichts.
Weil über 4 Tage ~945 Benutzer mit absolut kryptischen Daten angelegt wurden.
Kann natürlich auch was anderes sein, aber wenn man die Liste nach PLZ sortiert, sticht das sofort ins Auge.
Das ergibt sich aus der Liste mit auffällig vielen Namen und email Adressen wie hbdhcbdahcbjkhgfsxgcsf oder ähnlichem.
Es sticht auch beim Scrollen eine Email Adresse mit ....... hervor, wo der Punkt an unterschiedlichen Stellen gesetzt wurde, den gmail dann eliminiert.
Schöner Mist.
Kann man eigentlich den Betreiber von Wortfilter anzeigen, da er den Link verbreitet?
Zuletzt bearbeitet:
Anzeigen kannst du jeden. Ob der Staatsanwalt mit aufspringt entscheiden die selbst....
Ich würde vermuten da gab es irgendeinen Gutschein oder anderen Benefit bei der Anmeldung, evtl. sogar ohne die eMail oder eine KK bestätigen zu müssen, den dann manche automatisiert generiert haben.
Im Februar 2018 gab es den 10.- Euro Tchibo.de Gutschein für die Anmeldung. Vermutlich hat da jemand versucht den so abzugreifen.