Hi,
Nachdem die Sicherheitslücke bei net.IPO respektive Deutsche Balaton gestern ja große Wellen geschlagen hat, möchte ich hier doch einmal nüchtern einige Dinge klar stellen:
Vorneweg noch: Ich bin kein Hacker! Ich kam zu den Dateien durch simples Rumsurfen wie die Jungfrau zum Kinde. Jeder hätte in den Besitz der fraglichen Dateien kommen können, wäre er zum "richtigen Zeitpunkt am richtigen Ort" gewesen. Ich habe keine Daten ausgespäht, wie es net.IPO in Ihrer Stellungnahme behauptet.
Das ganze war also kein Hack und der Zeitpunkt rein zufällig. Meine Vermutung, die sich dann teilweise mit den Angaben von net.IPO decken würde ist, dass hier Daten umkopiert wurden und dabei versehentlich kurzzeitig sensible Daten auf einem öffentlichen Verzeichnis lagen. Trotzdem darf soetwas eben nicht vorkommen. Jeder, der schon einmal einen Webserver konfigriert hat, kennt den Unterschied zwischen "öffentlichen" und "nicht-öffentlichen" Verzeichnissen. Kundendaten haben auf öffentlichen Verzeichnissen nichts verloren!
Zu den Daten selbst: Es handelt sich nicht um die Kundendatenank von net.IPO! Es wurden keine Daten öffentlich, die weitreichendere persönliche Informationen enthalten, als Name und Bankverbindung. Also weder Geburtsdatum noch die Angaben zu den Vermögensverhältnissen. Trotzdem ist das ja schon schlimm genug, wenn ich es auch nicht so hysterisch bewerten würde, wie manche hier im Forum, schliesslich sind Bankverbindungen so geheim ja nicht und ungerechtfertigten Bankeinzügen kann immer noch widersprochen werden.
Ich werde die Daten nicht veröffentlichen! Aber damit die Spekulationen aufhören, werde ich mal posten, was überhaupt da drin stand:
Z.B. eine Zeile aus der Datei CascLima057ACG (selbstverständlich nicht original):
D123-456-789---DE0005007702 520000316EUR1231234561234 BLZ10090100 KLEIN HANS net.IPO
Also hier steht die Kundennummer bei net.IPO, dann die WKN von ACG, dann die Zuteilungshöhe (5) dann wohl eine interne Kennung für die ACG Emission, die Konto- oder Depotnummer, BLZ und der Name.
Eine andere Datei (DTAUS1_ACG) enthält ähnliche Daten folgenden Formats:
9;312-312-312;Klein, Hans;501750;10090100;12345321;9 ACG13zu38500EUR+12,5
Also eine laufende Nummer, wieder die Kundennummer, Name, eine Nummer, die entweder 501750, 386250, 116750, 193750, 78250 oder 155250 ist, BLZ, Konto oder Depot, wieder laufende Nummer und Verwendungszweck für die Überweisung.
Da die Bankverbindung in beiden Dateien bei gleichem Namen oft unterschiedlich ist, gehe ich davon aus, dass das eine die Konto, das andere die Depotinformation ist.
Geordnet sind die Dateien alle nach BLZ.
Wie aus den Dateien hervorgeht, beschreiben diese (niemand erhebt mit diesen Dateien Anspruch auf Vollständigkeit), dass 2176 Kunden insgesamt 15670 ACG Aktien bekommen haben. Interessant ist auch, dass scheinbar ganze Familien bedacht wurden, da untereinander mehrere Leute mit dem selben Familiennamen (Nicht Müller, oder Meier!!!) stehen.
Auch die SQL Abfrage, die Kunden im Orderbuch mit gleichen Geburtsdatum sucht gibt zu denken. Spielerei bei net.IPO oder Zuteilungskriterium?
Zusammenfassung: Ich bin kein Hacker und die ganze Sache war kein Hack! Leute wie ich, die zufällig auf die Daten gesurft sind, taten dies bestimmt nicht mit Absicht. Die Tatsache, dass solche Daten so öffentlich waren ist skandalös, der Inhalt der Daten vielleicht nicht ganz so brisant (für Leute, die Ihre Steuererklärung brav ordentlich machen ).
|