09.07.2010, 14:32:06
|
#1 (permalink) |
|
Erfahrener Benutzer
|
Sind die Userdaten bei Dailycent.de wirklich sicher?
Eines möchte ich vorwegschicken, ich möchte in keinster Weise Dailycent hier schlecht machen. Allerdings, da auf Grund der Sachlage wie mit brisante Userdaten umgegangen wird und dass absolut keine Info bzw. Warnung von Seiten der Admine den restlichen Usern gegenüber erfolgt, sehe ich mich gezwungen, alles öffentlich zu machen.
Es begann damit, dass ich am 23.06.2010 eine Auszahlung von Dailycent über 4,20 € per Banküberweisung erhielt. http://www.abload.de/image.php?img=d...6.2010i5b9.jpg Einige Tage später, am 01.07.2010 entdeckte ich zwei Gutschriften von Paypal auf meine Bankkonto, die mich sehr stutzig werden ließen. Da ich bereits vor gut zweieinhalb Jahren mein Paypalkonto gekündigt habe, besitze ich auch keines mehr. Diese beiden Buchungen haben allerdings den Anschein, als ob jemand namens Martin Iuhos versucht hat, sein Paypalkonto mit meiner Kontonr. zu verifizieren. Das seltsame an der Geschichte ist die Namensgleichheit und der Vorname dürfte wohl von der Strasse abgeleitet worden sein. http://www.abload.de/image.php?img=d...paypalnvfd.jpg Sofort setzte ich mich mit Paypal in Verbindung und schilderte dem Support was passiert ist. Diese riefen mich dann kurzerhand an um nähere Details zu erfahren und sicherten mir dabei zu, dass all meine Daten, wie Namen, Adresse, Email-Adresse und Bankkonto auf eine art Blackliste gesetzt wird. Das bedeuten, dass wenn noch mal jemand diese Daten nutzen sollte, sofort eine Warnung ausgegeben wird. Adelina habe ich selbstverständlich auch per Kontaktformular darüber in Kenntnis gesetzt und sie dabei recht bestimmend gefragt, wie sie oder eines ihrer Familienmitglieder dazu kommt, ein Paypalkonto mit meiner Kontonr. bestätigen zu lassen und sie solle mir doch den Datenmissbrauch erklären. Eine Antwort bekam ich ziemlich schnell. Ich solle überall meine Passwörter ändern, da ihr dies angeblich auch schon passiert wäre, denn bei einem Check ihres PC hätte sie eine Menge Trojaner und Keylogger gefunden. Im weiteren ICQ-Gespräch gestand sie sie mir, dass sie täglich mit Faker zu tun hätte, aber noch dreister wären die Hackangriffe und sie habe dem Entwickler des Eva-Scripts bereits eine Info zukommen lassen. In diesem Gespräch, was vorgestern Abend stattfand, riet ich ihr die Dailycent-User über dieses Vorkommnis zu informieren, so dass diese noch etwas näher auf ihre Bankkonten achten für den Fall einer unberechtigten bzw. merkwürdige Buchung, egal ob plus oder minus. Dies wollte sie noch am selben Abend erledigen, doch es wurde kein Newsletter versendet, deshalb auch dieser Beitrag, da es schließlich um Daten geht, die nur den einzelnen User und die Admine etwas angehen. Des Weiteren riet ich ihr, sich mit dem Hoster in Verbindung zu setzen, um zu erfahren ob es ab meinem Auszahlungsantrag irgendwelche Anomalitäten auf dem Server gab, da ich meine Kontodaten erst bei Beantragung hinterlegt hatte und in der Tat gab es weitere ungewöhnliche Aktivitäten bezüglich Dailycent, so zumindest ihre Aussage vom Provider. Ich habe mittlerweile Bankdaten im Dailycentaccount unkenntlich gemacht, da sie sich nicht löschen lassen. Ich rate euch selbiges ebenfalls zu tun, denn wer weiß was noch passieren könnte. Hier bin ich jedenfalls schon mal gewarnt und werde mein Bankkonto mit Argusaugen beobachten. Der Ton macht die Musik
  |
|
|
| Gesponsorte Links |
|
09.07.2010, 14:38:46
|
#2 (permalink) | |
|
www.evanetworks.de
|
Zitat:
Aber der Tante glaube ich sowieso nichts mehr. Denn wenn man hergeht und einen Dienst startet, ohne im Besitz einer gültigen und bezahlten Lizenz für das Script zu sein, ist für mich sowieso der Ofen aus. Die Gute sollte etwas vorsichtiger mit ihren Äusserungen sein, denn ich kann das auch auf anderem Weg klären. |
|
|
|
|
|
09.07.2010, 14:58:30
|
#3 (permalink) |
|
Erfahrener Benutzer
|
Hallo Raphael,
 jetzt warst du aber verdammt schnell, wollte dich gerade per PN auf den Thread hier aufmerksam machen zwecks evtl. Stellungnahme.Nach deiner Aussage kann man also davon ausgehen, dass nichts vom dem stimmt was sie mir mitgeteilt hat. Hatte irgendwie schon so eine Vorahnung, da sie eben keinen Newsletter an die User rausgegeben hat. Das ist ja wohl der absolute Hammer  Danke auch, dass du so fix warst  Nebenbei bemerkt, selbiger Beitrag habe ist noch auf Starsofpaid4 und im Primusboard zu lesen, denn irgendwie müssenja die User auf den Mißstand aufmerksam gemacht werden 
Der Ton macht die Musik
|
|
|
|
09.07.2010, 22:46:58
|
#4 (permalink) | |
|
www.evanetworks.de
|
Zitat:
Von ihr stammte auch damals das Gerücht, dass der Punktetransfer im Script unsicher wäre, woraufhin ich das Modul komplett auseinandergenommen hatte aber nichts fand. Kurioserweise hat nur sie irgendwelche Probleme... Auch damals hat sie behauptet, mit mir in Kontakt zu stehen, was aber hinten und vorne nicht stimmte. Ausser dass ich monatelang mit ihr übers Urheberrecht und anschliessend über offene Rechnungen gestritten habe, hatte ich mit der Dame noch nie oder sagen wir mal, sehr selten Kontakt. Von ein oder zwei harmlosen Supportanfragen abgesehen. |
|
|
|
|
|
10.07.2010, 12:10:32
|
#7 (permalink) |
|
Erfahrener Benutzer
|
Ich denke, die Fakten anhand der Screens sprechen ja einiges für sich
Was sich aber jetzt im Nachhinein noch für ein Gedanke auftut bei der Sache! Wie würde es mit einem Widerrufsrecht auf den abgeschlossenen Vertrag für die User aussehen? Immerhin ist ja eine äußerst wichtige Grundlage der AGB allem Anschein nach nicht gegeben, nämlich die der Datenschutzklausel unter Punkt 3 der AGB, zumal noch immer keine Info per Newsletter raus gegangen ist. Zumindest bräuchten dann User, die davon Gebrauch machen, die AZG nicht abwarten, sondern bekämen ihr Guthaben ausgezahlt und könnten dann ihren Account löschen. Der Ton macht die Musik
|
|
|
|
|
10.07.2010, 12:18:39
|
#8 (permalink) |
|
Gesperrt
|
Kennst du den Unterschied zwischen Theorie und Praxis? Also, ich meine nicht nur bei dem Schweinkram.
 Natürlich hätte man ein Kündigungsrecht, sogar ein außerordentliches. Aber wie erklärt man das jemanden, der mit ganz einfachen kaufmännischen Gepflogenheiten Probleme hat, bei dem man gar keine Gesetzestexte oder gar Paragraphen kennen muss. Geändert von Columbus (10.07.2010 um 12:44:18 Uhr) Grund: Rechtschreibfehler bereinigt, war peinlich. ;) |
|
|
|
|
10.07.2010, 23:40:54
|
#9 (permalink) | ||
|
Erfahrener Benutzer
|
Zitat:
Zitat:
 - wohl aber kein User
Der Ton macht die Musik
|
||
|
|
|
|
11.07.2010, 17:48:43
|
#10 (permalink) |
|
Erfahrener Benutzer
|
Hallo Karin...
Gruß Raphael und natürlich auch der "komische Seefahrer" . Ich war erst mal etwas Irritiert als ich den Eröffnungspost gelesen habe. Nicht wegen Daily aber wegen der "Löcher im Skript" .... Also selber gesucht und andere suchen lassen .... Ich fahre in der Zwischenzeit das dritte EVA, und nein, keine Löcher gefunden, kein Datenklau möglich, kein Transferfake ... etc. Sollte man mal erwähnen, mit Nachdruck, da ich mir vorstellen kann das sonst einige User verunsichert sind die auf EVA-Mailern angemeldet sind oder vor haben sich an zu melden..... ... und Aussprüche wie: " Habe ich dem Entwickler gemeldet ..." in Bezug auf EVA, damit löst man was aus..... der Entwickler meldet sich .... sofort, per Mail, per Telefon.... wenn er Dich nicht erreicht, er findet Dich, selbst im Auto hunderte Kilometer von deinem PC/Mailer entfernt, und räumt kleinste Ungereimtheiten aus dem Weg..... (Spreche diesbezüglich aus Erfahrung).... Fazit; Datenunsicherheit begründet auf´s Skript... NEIN Datenunsicherheit begründet auf unfähige/unsaubere Administration .... JA
Wissen ist Macht....
Ich weiss nix, macht nix .... |
|
|
|
|
11.07.2010, 22:21:48
|
#11 (permalink) | ||
|
Erfahrener Benutzer
|
Hallo Jürgen,
Zitat:
Durch Kontakte zu anderen Admins mit gleichem Script und auch zu Raphael, weiß ich, dass ALLE Daten verschlüsselt sind. Erst bei einem AZ-Antrag werden diese durch eine Mail an den Admin lesbar, in der DB bleiben diese aber nach wie vor verschlüsselt, sind also sicher und sie kann den Schwarzen Peter NICHT Raphael zuschieben Des Weiteren, wo bei mir jedenfalls die Alarmglocken anfingen zu schrillen, wenn es einen Hackerangriff gab, egal zu welchem Zeit auch immer dies gewesen sein soll, informiert normalerweise der Hoster seinen Kunden über Anomalitäten und nicht der Kunde muss nachfragen ob was gewesen sei. Muss aber ein User erst Mal einen Admin bei solch einem Vorfall darauf hinweisen was zu tun, wie beispielsweise beim Hoster bzw. Script-Entwickler nachfragen ... ich denke, das ist doch das Naheliegenste was man als Admin in so einem Fall macht Zitat:
Der Ton macht die Musik
|
||
|
|
|
|
12.07.2010, 07:44:03
|
#12 (permalink) |
|
Neuer Benutzer
|
um verwirrungen zu vermeiden, hier schreibt die admine von daily (wenn ich darf).
@morpheus: bitte keine alten geschichten aufwärmen, die schon längst geklärt sind...danke! was den punktetransfer betrifft, habe ich immer gechrieben, dass wir ihn aus sicherheitsgründen deaktiviert haben aber dieser selbst nicht unbedingt fehlerhaft sein muß. wir hatten leider probleme damit, dass sich user bis zu 1000 eur einfach so auszahlen haben können und für beliebig viele punkte auch werbung gebucht haben. ich hab mich dann immer in deinem forum informiert bzgl. der hackangriffe die so um sich läuft und den usern auch immer die forumlinks dazu geschickt, dass es wohl noch keine lösung dafür gibt (außer eine komplette neuinstallation soviel ich noch weiß). screenshots vom admin-bereich kann ich dir gerne noch nachliefern falls du magst bzw. es dir hilft. zu den anderen vorwürfen, möchte ich nur sagen, dass katrawi im prinzip recht hat mit ihrer darstellung und wir wirklich den fehler wie verrückt bei uns gesucht haben. ich habe ihr am ende unseres gesprächs mitgeteilt, dass ich derweil nur eine mail an unseren provider rausgeschickt habe und mich später um alles kümmere, da ich schon dringend in die arbeit mußte und mich am nächsten morgen um alles kümmern werde. als ich am nächsten tag nachhause kam habe ich katrawi ne offline message hinterlassen das die sicherheitsstandards erhöht wurden und wir wahrscheinlich auch einen besseren server kriegen werden. da war das thema für mich, und ich dachte fälschlicherweise auch für katrawi, eigentlich erledigt?!? ich möchte hier aber gerne noch eine frage an meinen fast 2000 usern stellen, die nicht gerade zufällig gesperrt oder im urlaub sind: gibt es sonst noch irgendjemand, der ungewöhnliche transaktionen auf seinem paypal-konto entdeckt hat? falls ja, nehme ich alles zurück und ihr dürft mich gerne weiterhin hier steinigen! falls nein, dachte ich es mir doch fast... das ungewöhnliche ist nämlich, dass mir katrawi, als ich sie im icq nebenbei fragte ob sie auch einen mailer besitzt, gemeint hat, dass sie die co von spandis-mailbörse ist. wie bereits alle wissen, sind wir (also ich und spandauer) kurz vor dieser ganzen geschichte (dramatisch ausgedrückt) zu erzfeinde geworden. weshalb und warum, ist, wie er in seinem verkaufsthread bei primusboard vollkommen richtig gesagt hat, uninteressant. jedenfalls hat er dort sein dailyaccount mit ca. 200refs verscherbelt. ich möchte ab dieser stelle niemandem einen vorwurf machen (das können andere offensichtlich besser als ich), aber zumindest einen überblick über die gesamtsituation verschaffen. im endeffekt bin ich der meinung, dass durch öffentliche panikmache jeder nur verlieren kann. ein ruinierter ruf ist nämlich schwer wiederherzustellen, auch wenn es sich dabei um missverständnisse (davon ich gehe ich im moment noch aus) gehandelt hat. lg ade (die nach einer 12 h schicht erst gerade nach hause gekommen ist) ps: bitte verzeiht es mir, dass ich zu weiteren stellungnahmen nur mehr über meine email-addy zu erreichen bin. Geändert von aelous (12.07.2010 um 07:59:42 Uhr) Grund: dumme rechtschreibfehler |
|
|
|
|
12.07.2010, 07:50:35
|
#13 (permalink) | |
|
Erfahrener Benutzer
|
Zitat:
Das bedeutet, das selbst wenn die DB gehackt wird und jemand die Daten bekäme, nutzt es ihm nichts. Ein hashcode kann eben nicht zurückerstellet werden. ein hascode kann zb. 200 versch. wörter haben sprich passwort zb. test1 , test2, test3 ist der gleiche hashcode und kann daher nicht zurückgewandelt werden. nehme als Beispiel du gibst als PW 75+25 ein, ergibt 100 als Hashcode, auf den Code kannst du aber ganau so durch 64+36 kommen oder durch 52+48 ... Du kannst ihn also nicht rückwandeln. Es gibt zwar verschieden decrypter im netz, die funktionieren aber im Prinziep dadurch das möglichst viele Codes in einer DB mit den tatsächlichen PW´s gesammelt werden und dann Anhand dieser Infos ein mögliches PW durch Vergleiche ausgespuckt wird. Klappt bei einfacheren PW´s, aber sobald die Kette länger ist oder Buchstaben/Zahlen-Kombinationen auftauchen ... nicht mehr dran zu denken. Ergo: Kein Datenklau sondern unerlaubte Weitergabe. Möglich weil bei einer Anmeldung, Abmeldung und Beantragung von AZ Orig. Daten an den Admin gesendet werden. Anhang: Da war Ade schneller wie ich ..... Ist natürlich eine ganz andere Darstellung, theoretisch möglich.... bleibt nun abzuwarten wie sich das entwickelt. Nur eines ist sicher, es liegt nicht am Skript ...
Wissen ist Macht....
Ich weiss nix, macht nix .... Geändert von Onkelchen (12.07.2010 um 07:58:28 Uhr) Grund: Anhang hinzugefügt .... |
|
|
|
|
|
12.07.2010, 08:44:42
|
#14 (permalink) | ||||
|
Web-Schneiderei.de
|
Zitat:
Zitat:
Ich war nur User bei dir und hab meinen Account verkauft, weil ich mit einer so unfähigen Webmasterin nicht zusammen arbeiten mag. Schon gar nicht dann, wenn ich mir noch reinziehen muss, dass ich ja selbst Schuld bin, wenn ich mein Geld/Lose/Primeln in deinen ( wie du nämlich sagtest) "scheiß Mailer" stecke. Waren doch deine Worte gewesen. Was interessiert es dich, wenn jemand sein Geld in deinen scheiß Mailer steckt, sorry, aber irgendwo ist das doch nicht normal. Und wieso wissen das alle angeblich, dass wir nicht mehr miteinander können? Hast den Buschfunk aktiviert und getratscht? Sorry, aber anders kann ich es mir nicht vorstellen. Zitat:
Ich mag zwar nen Sturkopf sein oder ruppig oder sonstwas, aber ich bin ganz bestimmt nicht dämlich. Wer im Grunde genommen 3 Stunden diskutiert und kein Ende findet, obwohl man schon sagt, "geh dich mal abkühlen, wir reden bzw schreiben morgen nochmal" und immer wieder Sätze raushaut wie z.B. " Wegen 2 Euro wird keiner einen Mahnbescheid erwirken" , "Dann verschick ich halt nur noch eine Mail pro Monat raus" , " Nicht nur ihr User habt Rechte, sondern ich auch (Privatinsolvenz), dann wird mir schlecht. Ich weiß auch nicht, warum man 3 Stunden über solche Dinge diskutieren muss, wenn diese Probleme gar nicht vorhanden sind!? Ist mir einfach zu hoch und genau aus dem Grunde,weil die Betreiberin auch noch anfing beleidigend zu werden , hab ich irgendwann gesagt, dass ich den Account verkaufe. Bin auf die paar Euro nicht angewiesen . Sorry , aber ist mir lieber als in paar Monaten den Rechner anzuschalten und zu merken, dass die Seite weg ist. Zitat:
Wenn solche Probleme vorhanden sind, hättest du deine User SOFORT per Newsletter in Kenntnis setzen müssen und nicht einfach auf Durchzug stellen sollen. Wer soll denn sonst deiner Meinung nach Schuld sein, wenn nicht du!? |
||||
|
|
|
|
12.07.2010, 08:46:55
|
#15 (permalink) | |
|
Losebank2010.de
Reg: 10.09.2006
Beiträge: 1.561
 |
Zitat:
 Losebank2010.de - Die Losebank der neuen Generation------------------------------------------------------------------------------ www.Flyer4Lose.de - Deine Klammlose-Druckerei für Aufkleber, Tshirts, Visitenkarten, Flyer uvm. ------------------------------------------------------------------------------
|
|
|
|
|
 |
| Gesponsorte Links |
| Anzeige |
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
|
|
Ähnliche Themen
|
||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Wie sicher ist man wirklich? | st.pauliblau | Verbesserungsvorschläge | 55 | 25.05.2009 12:26:15 |
| Sind Frauen wirklich so oberflächlich? | LordOfTrance | Das wahre Leben | 16 | 27.11.2008 10:25:33 |
| Wirklich sicher? | Medico | Gott und die Welt | 2 | 25.03.2007 12:18:48 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:33:03 Uhr.
