Für die heutige Episode, hat sich Stefan die Datenschutzerklärung von Amazon durchgelesen und bewertet diese einmal auf seine eigene Art und Weise. Nebenbei schafft er es doch glatt noch weniger zu fluchen, als in der letzten Episode.
Hausmeisterei
- Schwachstellen-Analysen für Domains der Zeroday-Hörer:innen, Hier gehts direkt zum Auftragsformular
- Obsidian
- Feedback unter:
- 0x0d.de (Website)
- Feedback@0x0d.de (E-Mail)
- +4916098720733 (Signal)
Datenverluste
- 21.03.2022: More Conti ransomware source code leaked on Twitter out of revenge
- Mind. 9 Ransom Victims in DE (5x Lockbit, 2x Conti, 1xHive, 1x Stormous) seit der letzten Episode
- 23.03.2022: Microsoft confirms they were hacked by Lapsus$ extortion group
News
- 24.03.2022: Lapsus$: Britischer Teenager ist der mutmaßliche Hacker-Mastermind
- 15.03.2022: CVE-2022-26143: TP240PhoneHome reflection/amplification DDoS attack vector
- 22.03.2022: Android password-stealing malware infects 100,000 Google Play users
- 22.03.2022: Hundreds of HP printers vulnerable to remote code execution flaws
Thema: Amazons Datenschutzerklärung
Datenschutzerklärung (Amazon); DSGVO im Internet
Fun and other Thinks
- Der Cyber Marsch
- Umstrittenes Gesetzespaket: Bundestag beschließt Urheberrechtsreform | tagesschau.de
Aufgenommen am: 24.03.2022
Veröffentlicht am: 25.03.2022
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson
Disclaimer
In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
Kontakt:
Website: 0x0d.de – Email: Feedback@0x0d.de – Signal: +4916098720733 – Twitter: @Zeroday_Podcast – Mastodon: @zeroday@chaos.social – PGP
Mahlzeit 🙂
Tolle Folge. Vielen Dank an Stefan für das Durchackern der Datenschutzerklärung und die Einschätzung. Mich hat es überrascht, dass Amazon seinen Job hier anscheinend relativ gut gemacht hat.
Zu den Hausmeistereien habe ich aber mal eine Frage. Ich habe lange über Sven’s Story zu den ebay Kleinanzeigen Fishing-Mails nachgedacht und finde keinen Reim darauf. Wodurch genau hätte der Angreifer / Betrüger einen Vorteil wenn er einen ebay Account für eine fremde Email Adresse anlegt? Könnte er sich nicht genauso einen Account mit fake Daten über ein selbst angelegtes Mailkonto (temporäre Wegwerfadresse) anlegen, über den er dann überteuerte Produkte anbietet? Diesen Account könnte er über das Mail Konto, auf das es Zugriff hätte, doch einfach selbst bestätigen und müsste nicht auf ein Opfer warten.
Vielleicht stehe ich aber einfach auf der Leitung und würde mich über Aufklärung freuen. 🙂
Grüße aus dem Ruhrpott
Kevin
Hallo Kevin,
der Vorteil eines Bösen Menschen ist, dass es länger dauert bis der Betrug als solches auffällt, da man einen wirklichen Menschen hinter dem Account findet. Dadurch gewinnt der böse Mensch viel Zeit, da erst einmal der wirkliche Mensch, dem der Account angeblich gehört, nachweisen muss, dass er nichts negatives getan hat.
Ich musste mir das auch ein paar mal von Sven erklären lassen bis ich es verstanden hatte, da es einem vorkommt als wenn man 3 mal um die Ecke denken muss.
Dabei ist die Lösung so einfach, dass man nicht auf das Schlagwort „Identitätsdiebstahl“ kommt.
Sollte ich etwas vergessen haben, wird Sven das bestimmt korrigieren.
Lieben Gruß
Stefan
Hi Stefan,
ok, falls der wirkliche Mensch unfreiwillig dazu beitragen sollte Verwirrung zu stiften, dann gibt es da vielleicht wirklich einen kleinen zeitlichen Vorteil für den Betrüger. Wenn diese Masche wirklich weit verbreitet ist dann scheint sich das ja irgendwie zu lohnen.
Vielen Dank für die Aufklärung.
Ich freue mich auf die nächste Folge.
Grüße
Kevin
Hallo zusammen,
hat schon mal jemand ein Tool gebastelt in welches man die Daten von Amazon reinwerfen und einfach auswerten kann?
Viele Grüße
Torsten
Hi,
ich höre seit einiger Zeit euren Podcast nach und habe inzwischen diese Folge gehört.
Ich wollte hier mal was zum Schrems II Urteil zur Diskussion stellen.
Bei dessen Erwähnung wird oft, auch bei euch, vertreten, dass Standardvertragsklauseln reichen würden um persönliche Daten in die USA (bzw. Drittländer ohne extra Regelwerk der EU) zu übertragen.
Ich habe aber das Urteil und einige Kommentare dazu anders verstanden. Meiner Ansicht nach sagt das Urteil, dass jedes EU Unternehmen vor der Übertragung individuell prüfen und sicherstellen muss, dass die Daten bei dem Unternehmen im Drittland so gut geschützt sind, wie es die DSGVO fordert. Wenn das der Fall ist, können Standardvertragsklauseln genutzt werden. Für die USA hat der EUGH aber auch geurteilt (und daher ja sowohl Safe Habour als auch Privacy Shield gekippt), dass US Gesetzte (in der Regel) genau diesem Schutz entgegenstehen. Außer in Ausnahmefällen reichen Standardvertragsklauseln also eben genau nicht aus. Zu ‚heilen‘ ist dieser Mangel nur durch weitere Schutzmaßnahmen vor der Übertragung (also z.B. Verschlüsselung.) Das Unternehmen in den USA darf also zu keiner Zeit im Klartext auf diese Daten zugriff haben. Im Übrigen gilt dies auch für alle von US Unternehmen ‚beherrschten‘ unternehmen, da die der DSGVO widersprechenden Gesetze auch auf diese Anwendung finden.
Wie seht ihr das? Habe ich das falsch verstanden?
Viele Grüße