Nachdem sich Stefan in Zeroday-Folge 9 bereits Payback unter Datenschutzaspekten angesehen hat, wollen wir heute aus dem aktuellem Anlaß der vermehrten Punktediebstähle mal ansehen, wie es um die Sicherheit von Payback bestellt ist.
Datenverluste
- 01.09.2020: Hackers breached Norwegian Parliament emails to steal data
- 04.09.2020: Prison phone service Telmate exposes messages, personal info of millions of inmates and their contacts
News
- 03.09.2020: Gericht erklärt NSA-Vorratsdatenspeicherung für illegal
- 06.09.2020: Ransomware attack halts Argentinian border crossing for four hours
- 07.09.2020: Viren-Scanner versus Antifa
- 28.08.2020: Ethereum is a Dark Forest. A horror story. | by Dan Robinson | Aug, 2020
- 25.08.2020: Illegale Überwachung und Vertuschung: Dänischer Geheimdienstchef suspendiert
- 08.09.2020: Auskunfteien: Schufa und Crifbürgel planen Stromkunden-Datenbank
- 08.09.2020: Polizei Sachsen entschuldigt sich erneut nach Twitter-Ärger
- 09.09.2020: Windows 10: Hintergrundbilder ermöglichen Stehlen von Accountdaten
Thema: Ist Payback sicher? Wie sicher ist Payback?
- 30.07.2020: Verbraucherzentrale Nordrhein-Westfalen: Aufregung bei Payback-Kunden: Dubioser Punkteklau
- 02.09.2020: SWR Mediathek: Payback-Klau: Wenn plötzlich alle Punkte weg sind | Vorsicht Verbrechen SWR
- 17.08.2020: Schutz vor Punkteklau – Das könnte sich für Payback-Kunden bald ändern
- “PAYBACK ist Deutschlands führendes Bonusprogramm und gleichzeitig die größte Multichannel-Marketingplattform. Über 31 Millionen Kunden sammeln derzeit beim Einkaufen Punkte! “
- Facebook Gruppe “Payback Geschädigte”
- Das wichtigste vorweg: PAYBACK ist sicher
Fun & other Thinks
https://www.thepolitetype.com/
Aufgenommen am 09.09.2020
Veröffentlicht am:10.09.2020
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson
Disclaimer
In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
Hey, mal wieder danke, für eine tolle Folge. Da ich zurzeit selbst viel in diese Richtung mache, fand ich das Thema sehr interessant. Ich fand es super, dass ihr selbst Hand angelegt habt und darüber berichtet habt. Gerne mehr davon :). Schade, dass ihr nicht die Möglichkeit habt weiter zu gehen. Ihr würdet bestimmt noch mehr Sicherheitsmängel bei Payback entdecken. Die Anmeldung per vierstelliger PIN ist schon ein ziemlich hohes Sicherheitsrisiko. Es wäre tatsächlich interessant zu erfahren, ob diese Möglichkeit erst gegeben ist, wenn man eine PIN festgelegt hat, oder, ob man automatisch eine (standard) PIN zugewiesen bekommt.
@Sven – eine Headsetempfehlung kann ich dir leider nicht geben. Habe einfach zu häufig schlechte Erfahrungen mit Headsets gemacht. Ich benutze seit gut 20 Jahren die Sennheiser HD-25 Kopfhörer. Die sind unverwüstlich und haben nen guten, ausgewogenen Klang. Bei Bedarf kann man jedes Einzelteil bei Sennheiser nachkaufen. Mein Bedarf beschränkt sich aber nach all den Jahren auf 2-3x neue Polster. Kabel ist, trotz teils enormer Strapazen, noch heute 1A. Eigentlich unglaublich, aber wahr.
Vor etwa 8 Jahren habe ich mir dann ein separates Mikrofon und ein Audiointerface dazu gekauft. Seitdem läuft die Combo nahezu täglich. Also meine Empfehlung: Gute, langjährig einsatzerprobte Kopfhörer + halbwegs seriöses stand-alone Mikrofon. Das Mikrofon deines aktuellen Headsets ist ja bereits ausreichend gut, wenn ihr nicht gerade Soundprobleme habt..
@Stefan – Yo, wie Defibrillator :). Die Mail habe ich erhalten – Ich melde mich diesbezüglich bei Gelegenheit. Gedulde dich da mal ruhig noch etwas ;D.
Kurzer Anmerkung an euer Payback-Hack. Wenn man 1,3 Jahre (2,7/2) lange fast alle Acounts von Payback spert (wegen 10 Fehlversuchen), wird das vieleicht auch Payback auffallen. Mann sollte also nur eine kleine Untermenge gleichzeitig versuchen um nicht aufzufallen.
Die gierigen fallen immer auf 🙂
Die 1,3 Jahre waren ja nur für einen Account theoretisch der Aufwand. Wenn man das parallelisiert mit vielen Accounts und über ein Proxy-Botnet geht, geht es wesentlich schneller, bis die ersten Accounts herauspurzeln. Hängt dann vom Moonitoring & Reporting bei Payback ab, wie lange das unentdeckt bleibt.