Hi,
Nachdem die Sicherheitslücke bei net.IPO respektive Deutsche Balaton gestern ja große Wellen
geschlagen hat, möchte ich hier doch einmal nüchtern einige Dinge klar stellen:
Vorneweg noch: Ich bin kein Hacker! Ich kam zu den Dateien durch simples Rumsurfen wie die
Jungfrau zum Kinde. Jeder hätte in den Besitz der fraglichen Dateien kommen können, wäre er zum
"richtigen Zeitpunkt am richtigen Ort" gewesen. Ich habe keine Daten ausgespäht, wie es net.IPO in
Ihrer Stellungnahme behauptet.
Das ganze war also kein Hack und der Zeitpunkt rein zufällig. Meine Vermutung, die sich dann
teilweise mit den Angaben von net.IPO decken würde ist, dass hier Daten umkopiert wurden und dabei
versehentlich kurzzeitig sensible Daten auf einem öffentlichen Verzeichnis lagen.
Trotzdem darf soetwas eben nicht vorkommen. Jeder, der schon einmal einen Webserver konfigriert hat,
kennt den Unterschied zwischen "öffentlichen" und "nicht-öffentlichen" Verzeichnissen.
Kundendaten haben auf öffentlichen Verzeichnissen nichts verloren!
Zu den Daten selbst:
Es handelt sich nicht um die Kundendatenank von net.IPO! Es wurden keine Daten öffentlich, die
weitreichendere persönliche Informationen enthalten, als Name und Bankverbindung.
Also weder Geburtsdatum noch die Angaben zu den Vermögensverhältnissen.
Trotzdem ist das ja schon schlimm genug, wenn ich es auch nicht so hysterisch bewerten würde, wie
manche hier im Forum, schliesslich sind Bankverbindungen so geheim ja nicht und ungerechtfertigten
Bankeinzügen kann immer noch widersprochen werden.
Ich werde die Daten nicht veröffentlichen! Aber damit die Spekulationen aufhören, werde ich mal posten,
was überhaupt da drin stand:
Z.B. eine Zeile aus der Datei CascLima057ACG (selbstverständlich nicht original):
D123-456-789---DE0005007702 520000316EUR1231234561234 BLZ10090100 KLEIN HANS net.IPO
Also hier steht die Kundennummer bei net.IPO, dann die WKN von ACG, dann die Zuteilungshöhe
(5) dann wohl eine interne Kennung für die ACG Emission, die Konto- oder Depotnummer, BLZ und
der Name.
Eine andere Datei (DTAUS1_ACG) enthält ähnliche Daten folgenden Formats:
9;312-312-312;Klein, Hans;501750;10090100;12345321;9 ACG13zu38500EUR+12,5
Also eine laufende Nummer, wieder die Kundennummer, Name, eine Nummer, die entweder
501750, 386250, 116750, 193750, 78250 oder 155250 ist, BLZ, Konto oder Depot, wieder laufende
Nummer und Verwendungszweck für die Überweisung.
Da die Bankverbindung in beiden Dateien bei gleichem Namen oft unterschiedlich ist, gehe ich davon
aus, dass das eine die Konto, das andere die Depotinformation ist.
Geordnet sind die Dateien alle nach BLZ.
Wie aus den Dateien hervorgeht, beschreiben diese (niemand erhebt mit diesen Dateien Anspruch auf
Vollständigkeit), dass 2176 Kunden insgesamt 15670 ACG Aktien bekommen haben. Interessant ist
auch, dass scheinbar ganze Familien bedacht wurden, da untereinander mehrere Leute mit dem selben
Familiennamen (Nicht Müller, oder Meier!!!) stehen.
Auch die SQL Abfrage, die Kunden im Orderbuch mit gleichen Geburtsdatum sucht gibt zu denken.
Spielerei bei net.IPO oder Zuteilungskriterium?
Zusammenfassung: Ich bin kein Hacker und die ganze Sache war kein Hack! Leute wie ich, die
zufällig auf die Daten gesurft sind, taten dies bestimmt nicht mit Absicht. Die Tatsache, dass solche
Daten so öffentlich waren ist skandalös, der Inhalt der Daten vielleicht nicht ganz so brisant (für Leute,
die Ihre Steuererklärung brav ordentlich machen ).
|
Thread abonnieren
