2. Update vom 14.September 2013:
Vodafone hat gegenüber den Kollegen von golem.de das Bekennerschreiben dementiert. Ein Unternehmenssprecher erklärte:
Nein, das sind Trittbettfahrer und Spaßvögel. Wir haben die Angaben in der E-Mail sehr gründlich überprüft. Weder stimmt es, dass Mobilfunknummern bei dem Angriff kopiert wurden, noch hat uns der Angreifer eine E-Mail mit den Daten im Winrar-Format gesandt. Wir haben alle E-Mails durchsucht.
Update vom 13.September 2013:
In der Redaktion ist inzwischen eine E-Mail eingetroffen, in der sich eine dreiköpfige Gruppe zur Tat bekennt und die wissentliche Mithilfe eines Mitarbeiters eines IT-Dienstleisters ausschließt. Die Authentizität des Schreibens ist natürlich nicht gewährleistet! Das Trio habe auf die Sicherheitslücken der IT-Infrastruktur des Konzerns intern aufmerksam machen wollen. Da es offenbar über die Gruppe hinaus Zugriffe auf die Datensätze gegeben habe, die nun im Internet aufgetaucht seien, habe man sich nun an die Öffentlichkeit gewandt – entgegen der ursprünglichen Absicht einer internen Kommunikation. Mittels USB-Stick habe die Gruppe in einem unbeobachteten Moment Kontrolle über den Rechner des IT-Technikers gewonnen und diesen fortan als Tor zum eigentlichen Datendiebstahl verwendet.
Aktiven oder ehemaligen Vodafone-Mobilkunden kann weiterhin nur geraten werden, ihre kommenden Kontoauszüge genau zu prüfen und gegen etwaige nicht-authorisierte Abbuchungen von ihrem Konto binnen acht Wochen nach Erhalt des Kontoauszugs Beschwerde bei ihrer Bank einzulegen.
Ursprüngliche Meldung vom 12. September 2013:
Vodafone Deutschland hat heute per Blogeintrag mitgeteilt, dass "kürzlich" ein erfolgreicher Angriff auf Firmenrechner mit Kundendaten stattgefunden hat. Die Hacker hatten Zugriff auf Datensätze mit Namen, Adressen, Geburtsdaten, Geschlecht, Bankleitzahlen und Kontonummern. Alle betroffenen Kunden werden durch Vodafone-Deutschland-Chef Jens Schulte-Bockum bis Freitag per Briefpost informiert. Aufgrund der Art des Angriffs wird Insiderwissen vermutet, sodass ein Täter im Kreis der Mitarbeiter beziehungsweise der IT-Dienstleister vermutet wird. Die Behörden haben einen Tatverdächtigen im Visier, bei dem bereits eine Hausdurchsuchung durchgeführt wurde.
Laut Vodafone sei mit den gestohlenen Daten kein direkter Zugriff auf Bankkonten Betroffener möglich, man gehe jedoch davon aus, dass es zu Phishing-Attacken mit gefälschten E-Mails kommen wird, um weitere Daten wie PIN-Codes, Passwörter und Kreditkartendaten zu erbeuten. Vodafone rät seinen Kunden zu besonderer Vorsicht, Überprüfung der Kontostände und bei Unregelmäßigkeiten Kontaktaufnahme mit seiner Bank.
Laut WDR sind ausschließlich Mobilfunkkunden von Vodafone Deutschland betroffen, nicht aber Festnetz- beziehungsweise DSL-Kunden. Vodafone-Kunden können sich im Firmenblog genauer über den Hacker-Angriff informieren und unter www.vodafone.de/kundeninformation verifizieren, ob tatsächlich die eigenen Daten ergattert wurden.
108 Kudos
Unabhängig. Meinungsstark.
Naürlich ist mit Bankkonto+Bankleitzahl und Name+Vorname eine Lastschrift möglich! Und das kommt gar nicht so selten vor. Banken prüfen meistens gar nicht, ob eine Erlaubnis vorliegt. Und zurückbuchen geht nur, wenn das Geld auch noch da ist...!
Wenn die Bank nicht prüft, muss sie haften und gegebenfalls Schadenersatz leisten.
Sehe ich auch so. Zudem sind die meisten Banken dahingehend versichert.
Ja, aber wenn der Schaden einmal da ist - Formulare, Formulare, von der Wiege...
Ganz zu schweigen von den Schwierigkeiten, die man in der Zwischenzeit vielleicht hat (Miete, Einkaufen, ...). Vodafone versucht da ganz klar die Geschichte klein zu reden.
Eine Lastschrift kann man ohne Probleme bis zu 14 Tage zurückbuchen.
Dennoch wäre es ärgerlich. Mann kann die LAstschrift sogar sperren lassen.
Die Frist beträgt mehr als 14 tage.
Seit 2009
"Wenn dagegen keine gültige Einwilligung in die Lastschriftabbuchung erteilt wurde (fehlendes Mandat), dann kann die Lastschrift bis 13 Monate nach Kontobelastung rückgebucht werden.
So steht es jedenfalls in den offiziellen Richtlinien der Bundesbank zum neuen SEPA-Lastschriftverfahren.
http://www.sepadeutschland.de/faq"
http://www.antispam-ev.de/wiki/Bankenm%C3%A4rchen_%C3%BCber_die_6-Wochenfrist
Wenn der Einziehende das SEPA-Lastschriftverfahren anwendet sind es 13 Monate. Ist erst zwingend ab 02/14. Bei dem alten Lastschriftverfahren sind es acht Wochen. Man sollte auf jeden Fall mindestens einmal im Monat seine Kontoauszüge überprüfen.
Du hast 1000,-€ auf dem Konto. Eine ungerechtfertigte Lastschrift reduziert deinen Kontostand auf -100€. Du merkst das nach 3 Tagen. In der Zwischenzeit wurden mehrere Lastschriften wegen mangelnder Deckung von deiner Bank abgelehnt. Die Rücklastschriftgebühren richten deine Gläubiger an dich, zusammen mit Vermerken in deren System usw.usf.
Du kannst das alles richtig stellen, du kannst auch mit einer schwarzen Null da rausgehen (wenn du Kosten für aufgewendete Zeit, Briefmarken, etc. ignorierst). Aber ist das alles schlimmstenfalls echt so easy, wie das hier dargestellt wird? Ich denke: nein.
Die Rückbuchung wird auf den Abbuchungstermin terminiert. Die Kosten für Porto, Telefon, usw. kannst du der Bank gegenüber geltend machen. Aufwand: ja, definitiv. Schwarze Null: definitiv. Da Name und Kontoverbindung leicht zu gewinnen ist, müßten unberechtigte Abbuchungen nach deiner Theorie wesentlich häufiger passieren.
Das ist eine unübliche Vorgehensweise bei Lastschriften. Zuerst wird belastet, danach hat man mehrere Wochen als Kunde Zeit, der Lastschrift zu widersprechen.
Der Prüfungsaufwand wäre gigantisch, wenn man das nach dem Positivverfahren machen würde (alle prüfen). Also wird nur auf die Kundenbeschwerden reagiert oder eben regulär die Kontodeckung geprüft.
Die Bank kann ja gar nicht prüfen, ob derjenige, der einen Betrag einzieht, eine Berechtigung hat. Sie kennen ja nicht die Vertragsbeziehung von Zahler und Empfänger.
Das lassen sich die Banken aber auch in ihren AGBs freizeichnen.
Du liest da etwas in meine Aussage hinein, was da nicht steht. Mit dem Widerruf zeigt man ja gerade die Nichtrechtmässigkeit an.
Ich bin nicht sicher, ob ich Deinen Post richtig verstehe.
Sobald die angebliche Unrechtmäßigkeit der Lastschrift vom Kunden über den Lastschrift-Widerruf angezeigt wird, wird die Lastschrift anstandslos von der Bank zurückgebucht, der Kunde erhält eine Gutschrift, das Kreditinstitut des anderen die Belastung, der Lastschrift-Einreicher die Belastung. Dennoch prüft die Bank des widerrufenden Kunden immer noch nicht die Unrechtmäßigkeit der Lastschrift, sie reagiert nur auf einen Kundenwunsch, nämlich den auf Rückbuchung. Sie prüft nicht ein evtl. zugrunde liegendes Vertragsverhältnis und beurteilt dieses. Der Kunde muss den Widerruf auch gar nicht begründen. Es reicht die Angabe: "Bitte diese Lastschrift zurückbuchen!", die bank prüft keine zugrunde liegenden vertragsverhältnisse, da hält sie sich raus, sie wickelt nur den Zahlungsverkehr dazu ab.
Wenn sie den Widerruf des Kunden nicht bearbeitet (verzögert/verpennt etc.) und dem Kunden daraus finanzielle Einbußen entstehen, weil der Widerrufstermin verpasst wird, dann hätte der Kunde wohl einen Schadenersatzanspruch wegen Nichterfüllung eines Auftrages.
Ausnahmsweise mal eine Firma mit der ich nichts am Hut habe, also endlich mal eine Woche in der ich nicht irgendwo das Passwort ändern muss.
Na supi... dann warte ich mal ab, ob sich Jens Schulte-Bockum auch bei mir persönlich per Brief entschuldigen wird...
War bis Sommer 2012 dort Kunde, hoffe die haben meine Daten gelöscht, glaube aber nicht.
Egal^^
Kollege der seit 2 Jahren kein Kunde mehr ist hat auch einen Brief bekommen das seine Bankdaten betroffen sind.
Und das obwohl die Bankdaten nicht gespeichert bleiben müssen wenn man kündigt..
Unglaublich - was für ein Glück, daß ich nicht bei dem Verein bin
Die haben aber gar nicht meine neue Adresse :D
Wenn du dennoch Post bekommst ... =8-)
Ich war auch Kunde bei denen, habe Ende Juli die letzte Vodafone-Rechnung bekommen und bezweifle auch, dass die meine Daten so schnell gelöscht haben (ich glaube die müssen die sogar noch eine Weile behalten). Ein Brief ist heute noch nicht angekommen. Hoffentlich kommt die nächsten Tage auch keiner ...
Vermutlich werden sie die Daten auch von selbst niemals löschen, sondern nur, wenn man ausdrücklich schriftlich darauf besteht.
Als ich bei denen Kunde war hießen sie noch Mannesmann. Mal sehen, ob ich auch einen Brief bekomme. Allerdings hatte ich damals glaube ich noch ein Konto bei der Kunden Kreditbank. Da können sie gerne eine Lastschrift versuchen.
Nicht betroffen. \o/
Also kennen meine Bankdaten weiterhin nur NSA und Co.
Und Paypal, dein Vermieter, deine Krankenkasse und alle Srom-, Gas-, Internet- und Handyanbieter, bei denen du über dein Konto bezahlst.
Solche Daten werden ja auch gerne und oft weiterverkauft, weils mit Kontonummer ganz besonders viel Geld für den Datensatz gibt. Frag mich echt, wieso einem nicht andauernd solche Briefe ins Haus flattern. Da kann man eigentlich nur davon ausgehen, dass nur ein Bruchteil solcher Hacks gemeldet wird, wenn sie denn überhaupt bemerkt werden.
Vodafone wurde nicht gehackt, die Daten wurden von nem Insider eines Resellers geklaut, der Zugriff auf die Datenbank hatte. Der Typ sitzt in U-Haft.
Danke für den Hinweis. Hast du eine Quelle dazu, so dass die News aktualisiert werden kann.
"Branchenkreisen zufolge handelt es sich bei dem Verdächtigen um einen System-Administrator eines Dienstleisters."
http://www.manager-magazin.de/unternehmen/artikel/hacker-stiehlt-daten-von-zwei-millionen-vodafone-kunden-a-921806.html
http://www.handelsblatt.com/economy-business-und-finance-roundup-3-bankdaten-von-zwei-millionen-vodafone-kunden-von-insider-gestohlen/8780160.html
Scheint ein Inside-Job gewesen zu sein von jemandem, der Zugriff auf die Daten hatte. Reseller, IT-Admin, irgendsowas.
Lustig aber, dass auf allen Newsseiten trotzdem von nem Hacker gesprochen wird. Jemand der Zugriff auf die Datenbank hat, braucht ja nicht mehr hacken :)
Laut eines angeblichen Bekennerschreibens -- siehe unseren Newsticker -- stellt sich das anders da.
Haben den Admin wohl abgelenkt und ihm dann einen präparierten USB Stick untergejubelt, ganz schön hinterlistig. Ob sich das alles bewahrheitet? Ich bin gespannt auf weitere Updates zur News.
Vodafone sagt auf laut diesen Blog http://stadt-bremerhaven.de/vodafone-datendiebstahl-bekennerschreiben-taucht-auf-verraet-vorgehensweise-und-umfang-der-daten/ auf Twitter das sie kein Bekennerschreiben oder gar Beweise bekommen haben.
"Update 13.09.2013, 15:00 Uhr. Vodafone bestreitet, dass Rufnummern von Kunden entwendet worden sein können:
@caschy Vorwürfe aus „Bekennerschreiben“ falsch. Mobilfunknummern nicht entwendet. Unsere Überzeugung: Trittbrettfahrer. ^mk
— Vodafone Deutschland (@vodafone_de) September 13, 2013
@caschy Keine Mobilnummern entwendet, keine Beweismail erhalten. An Polizei übergeben. ^mk
— Vodafone Deutschland (@vodafone_de) September 13, 2013"
Naja es sieht ziemlich nach Fake aus.
"Wir wissen was wir tun!! Wird sind Fachpersonal auf studierter Ebene!!"
http://stadt-bremerhaven.de/wp-content/uploads/2013/09/Brief.jpg
Ich hätte in dem "Bekennerschreiben" noch mehr Ausrufezeichen
erwartet, statt nur derer zwei... Der wahre Experte kann nicht oft
genug auf die [1!]-Taste hauen!!!111!!!111!!!11!!!!!11111!!elf
Dieser B3n ,der Anführer des Team_L4w ist kein unbekannter
Im Mai 2013 hat er schonmal eine wirre geschichte veröffentlich.
http://pastebin.com/sj7nU1nV
Angebelich hat er die Steuerdaten von von Buschido und Uli Hoeneß gehackt...
Naja, mein mobiler Vodafone-Internetstick (Prepaid) und ich sind aus dem Schneider. :)
Ich hab bin seit 2 Jahren raus und meine Daten sind laut Onlineabfrage nicht betroffen.
Zum Update: Wer's glaubt wird selig. Als wenn der Zugang eines IT-Technikers von Hackern gekapert wurde. Mal davon ab bekennen sich NIE Hacker für irgendwelche Taten, ganz egal wer oder was angegriffen wurde. Denn das spricht gegen den Kodex eines Hackers. Überhaupt ist es naiv eine solche "Bekennermail" auch noch ernst zu nehmen. Schließlich ist nicht viel Know-How von Nöten, eine solche E-Mail zu verfassen.
Exakt, darum steht das ja auch als zweiter Satz im Update drin, damit du es nicht einfach naiv für bare Münze nimmst.
Die Mail enthält übrigens das eigentliche Schreiben als zweiseitiges PDF mit Logo und so weiter, lässt sich bei uns im "internen" Newsticker ansehen. Zumindest hat sich da also jemand Mühe gemacht, ob nun die echten Hacker oder ein Trittbrettfahrer :-)
Die "Mühe" hält sich in Grenzen, denn das Logo ist einfach nur kopiert. Von Anonymous, siehe: http://de.wikipedia.org/wiki/Anonymous_%28Kollektiv%29
Jain. Der Hoster OVH wurde ja auch neulich gehackt.
Da lief das über Social Engineering damit die die Passwörter für den VPN-Zugriff bekommen.
(Ja, die hatten nur PWs, keine Zertifikate oder/und Tokens.)
Wir haben daraufhin bei uns (großer deutscher ISP, nicht Vodafone) 4-5 interne Projekte losgetreten um die Sicherheit nochmal zu erhöhen bzw. bekannte Risiken endlich zu beseitigen.
"Die Einschläge kommen näher." war ein Spruch eines Mitarbeiters unseres internen Security-Teams.
Von daher:
Den Zugang kapern: Möglich, wird gemacht, wurde vor Jahrzehnten schon gemacht.
Das Bekennerschreiben halte ich aber auch nicht für sonderlich echt. WENN dann hätten die das früher getan oder wären anders vorgegangen.
So wie es sich für mich liest, kommt das Schreiben ja nur, weil die den armen Techniker schützen wollen.
Ja.. Dann missbraucht nicht erst seinen Zugang? Das der so zu einem Kollateralschaden wird muss euch doch bewusst gewesen sein!?!
Ihr hättet dann ja wenigstens eure Spuren nicht verwischen müssen, damit auch ein in IT geschulter KriPo-Beamte da noch was feststellen kann?
Zum Thema Hacking mit Hilfe von Social Engineering würde ich das Buch Ghost in the Wires von Kevin Mitnick. Da ist im Prinzip gut erklärt, wie er mit Hilfe von ein wenig Recherche mehrere Leute dazu bekommen hat, ihm über Telefon die Zugangsdaten für die Systeme zu verraten.
Gut, heute macht man das mit eMails und dem ein oder anderen Exploit.
Naja Mitnick ist eh der Typ schlechthin wenn es um Social Engineering ging. Und ja, das Buch habe ich gelesen. Mit 16 oder so :-)
Hat mir häufig im Leben geholfen an Ansprechpartner zu kommen die einem weiterhelfen können.
Im Buch wird das als "Pass the gatekeeper" beschrieben :-)
Und jeder "Hacker" hat sich an den heiligen Hacker-Kodex zu halten, weil sonst...kommt die Hacker-Polizei? :D
Passiert doch andauernd, dass Webseiten defaced werden und die Verantwortlichen ihre Logos oder sogar Twitter-Accounts hinterlassen. Bei den ganzen Lulzsec-Geschichten hat man sich ja auch in der Regel dazu bekannt. Gibt defintiv mehr als genug Hacker, die son großes Ego haben bzw. auch ne gewisse Art von Fame und Anerkennung haben möchten, dass sie irgendwie irgendwen wissen lassen müssen, dass sie dafür verantwortlich sind. Und jetzt bitet nicht mit dem "Hacker" und "Cracker" Unfug kommen. Grade in dem Bereich ist das alles eher Grau und bei weitem nicht nur Schwarz oder Weiß. Die "Guten" halten sich nicht ausnahmslos an irgendwelche Regeln, die vor 30 Jahren mal festgelegt wurden. Beim Hacken gehts ja in erster Linie auch drum, Regeln zu "brechen" bzw zu umgehen oder neu zu interpretieren, um Dinge zu tun, die so eigentlich nicht vorgesehen oder erlaubt sind.
Ich denke es sind hautpsächlich zwei Lager aktiv: die Hacker, die auf Schwachstellen/etc. aufmerksam machen wollen gehen typischerweise an den Hersteller/Eigentümer und dann an die Öffentlichkeit.
Die Hacker, die heutzutage (zielgerichtet oder nicht) im Rahmen von organisierter Kriminalität arbeiten, schreiben sicher keine Bekennerschreiben ;-) Sie wollen ja schliesslich weiter Geld verdienen.
Und ja, dazwischen ist jede Menge "Grauraum".
Die Egomanen, die Websites defacen um sich damit zu brüsten, sind heute eher in der Minderzahl.
Saftladen
Puh, nicht betroffen.
Hey Leute ich bin auch davon betroffen habe sogar ein Brief per Post bekommen! Finde ich meiner meinung nach unter aller Sau!!! Weiß jmd vlt ob ich ein recht auf eine Sofort Kündigung habe und ob ich ein recht auf eine Entschädigung habe? (bzw Schadenersatz)
Schau am besten mal in den Vertrag unter Sonderkündigung, typischerweise geht das nur bei Umzug oder Tod.
Die allermeisten Datenbanken sind nicht mal dafür ausgelegt, überhaupt festzustellen, ob/wann/wer daraus Daten kopiert hat. Das heisst: Bei den meisten Firmen würde niemand merken, wenn Daten geklaut werden.
Vodafone hat`s gemerkt und Dir nen Brief geschrieben. Und darüber regst Du Dich nun auf. Na gut... aber sei Dir sicher, das ist schon ein Dutzend Mal vorher passiert, bei anderen Firmen, und Du hast KEINEN Brief bekommen.
Schadenersatz kannst Du vom Täter verlangen, denn der hat den Schaden verursacht. Solange du Vodafone nicht Fahrlässigkeit nachweisen kannst, wirst Du von denen aber nix bekommen, ausser einem Brief.
Ich mach mir da keine Sorgen. Die NSA hat sicher eine Sicherungskopie aller meiner Daten.
rückt sie aber nicht raus :-)