Ariakans Blog

Mittwoch, April 17, 2013

Cyber offensive - Mal wieder Base....

Es ist offenkundig, dass man bei Base jeden Pfennig spart um seinen Kunden die BESTEN TARIFE zu bieten. Dazu zählt wohl auch, dass man sich absolut nicht dafür interessiert wie sicher die Daten der Kunden eigentlich so sind... Stattdessen kauft man bei Zalando für ein paar Mark 50€ Gutscheine und verlost die mittels eines Flash-Bowling Events im April. Eigentlich ne coole Sache, dachte ich, als ich davon las. Dann war da dieser interessante Button, "Zu den Gewinnern". Und siehe da, Base zeichnet die Gewinner auf eine sehr interessante Art aus. Waren es früher noch die Klarnamen der Gewinner, so sieht man heute, dank "Datenschutz" und "Persönlichkeitsrechten", lediglich die Benutzernamen der Gewinner.

Das sieht dann in etwa so aus 


Usagi138150 € Zalando-Gutschein17.04.2013
Krawullbiene50 € Zalando-Gutschein17.04.2013
indovello50 € Zalando-Gutschein17.04.2013
Necer0150 € Zalando-Gutschein17.04.2013
suceher50 € Zalando-Gutschein17.04.2013
Tigrrerrchen264050 € Zalando-Gutschein16.04.2013
luci201050 € Zalando-Gutschein16.04.2013
TinaMaus50 € Zalando-Gutschein16.04.2013
(alle Accounts wurden verfälscht, können aber problemlos auf der Base-Seite eingesehen werden)

Base öffnet damit aber erst den Angriffsvektor auf die Accounts der Gewinner. Gemeint ist damit die Richtung aus der Angreifer einen Ansatzpunkt finden könnten um eure Daten zu klauen. Allgemein denkt man ja immer, oh, ich brauche ein sichere Passwort! Das stimmt auch soweit, aber das bedeutet nicht, dass man seinen Loginnamen einfach so preisgeben sollte. Denn das erspart dem Hacker sehr viel Arbeit. Denn einen Emailaccount oder einen Base-Account, kann man NUR hacken, wenn man auch den Benutzernamen kennt. Der nächste Schritt des Hackers wäre es nun eine Vorauswahl zu treffen. Welche der veröffentlichten Accounts haben eine höhere Chance auf unsichere Passwörter? Sind vielleicht sogar Account und Passwort gleich? Danach hat der Angreifer eine gute Chance durch Raten das Passwort zu finden. Danach schließt er dann einige neue Handyverträge ab, ändert die Adressdaten und besitzt einige neue Telefone...

Hier übrigens ein Bild der beliebtesten Passwörter im englischsprachigen Kulturkreis, kein Witz....




Kommentare:

  1. Ich habe vor einigen Tagen einen 50 Euro Zalando-Gutschein beim o.g. Gewinnspiel gewonnen :) Finde die Gewinnspiele von/auf Base.de sehr gelungen (ist nicht mein erster Gewinn)!

    AntwortenLöschen
  2. Das hier ist ja auch keine Kritik am Gewinnspiel gewesen, sondern an der Methodik wie die Gewinner und die damit verbundenen Benutzeraccounts veröffentlicht wurden. Aber vielleicht muss ich den Text neu formulieren, wenn das zu unklar rüberkam...

    AntwortenLöschen