ändern Sie Ihr Passwort auf http://...

[rendegast]

Mal wieder ein Spaß aus der Profi-Ecke

...
der Schutz digitaler Daten stellt heute eine große Herausforderung dar. Auch wir legen höchsten Wert auf die Sicherheit aller Daten auf unserer technischen Webseite.

Im Rahmen einer routinemäßigen Überprüfung mussten wir feststellen, dass es Unbefugten trotz hoher Sicherheitsmaßnahmen offenbar gelungen ist, die Sicherheitsbarrieren unserer technischen Webseite zu überwinden und sich Zugang zu gespeicherten Daten zu verschaffen. Die bei der Registrierung eingegebenen und gespeicherten Daten sind: Nachname und Vorname, Telefonnummer, Berufsbezeichnung, Abteilung, Land, eMail-Adresse sowie das von Ihnen gewählte Passwort.

Aus Gründen der Prävention bitten wir Sie deshalb, Ihr Zugangspasswort zu unserer technischen Website zu ändern. Gehen Sie dazu bitte auf diesen Link<http://dealers.webasto.com/sections/public/tasks/changepassword.aspx>.

[MartinV]

Passend dazu ein sicheres Paßwort, empfohlen vom ccc: Mb2.r5oHf-0t

[geier22]

Na dann von mir auch Storys:

Dieses Jahr:
Ich habe mit meiner Visa- Card bei genau drei Shops jemals eingekauft. Neulich wollte ich Geld mit der Karte holen - gesperrt. Mein Anruf bei der Bank ergab, das jemand in den USA versucht hatte, mit der Kartennummer zu bezahlen, die daraufhin gesperrt wurde.
Der Brief dazu erreichte mich dann auch irgendwann. -- Wahrscheinlich wurde die Datenbank einer dieser Shops geknackt. Eine Benachrichtigung wie bei Webasto kam aber nicht.

Vor ein paar Jahren wurde die UBS in den USA gehackt - ging durch die Schweizer Presse.
Daraufhin forderte ich die UBS auf, mir umgehend sämtliche Karten neu auszustellen. Ich bekam kommentarlos innerhalb von nur 3 Tagen kostenlos einen Satz neue Karten.
Der tatsächliche Umfang des Hacks wurde nie bekanntgegeben. Man munkelte etwas von mehreren hunderttausend Kundendaten........

Wenn die Kundendaten geklaut werden, nutzt auch ein sicheres PW nichts ... oder

Solche Mails bekomme ich ziemlich oft - natürlich auch von Banken und Organisationen, mit denen ich nie zu tun hatte .
Aber das wissen ja eh alle - nie einen solchen Link aus einer Mail benutzen. Sondern nur die eigenen gespeicherten Links benutzen.

@ MartinV : Danke für den Tip -- Hab ich natürlich gleich in die Praxis umgesetzt. Alle meine Bankaccounts - besonders das Debian-Forum haben jetzt dies tolle sichere Passwort

[Ozelot]

@Geier22

Gib bitte auch die IBAN der Konten an, sonst kann man sich das nicht richtig vorstellen, wie Du das gemacht hat.

[uname]

Die Formularseite muss nicht verschlüsselt sein. Nur der Request mit dem Passwort. Auch ist TLS/SSL nicht alles. Das Konzept ist sogar eigentlich ziemlich kaputt. Aber das eigentliche Problem ist die Dummheit der Anwender.

[Emess]

Passend dazu ein sicheres Paßwort, empfohlen vom ccc: Mb2.r5oHf-0t

Genau das hab ich letzte Woche für alle Accounts übernommen. Jetzt ist alles sicher.

[catdog2]

Die Formularseite muss nicht verschlüsselt sein. Nur der Request mit dem Passwort.

Selten so viel Quatsch gelesen. Schon mal daran gedacht, dass man dir ein falsches Formular unterschieben könnte welches das Passwort noch zusätzlich woanders hin schickt?

[uname]

Selten so viel Quatsch gelesen. Schon mal daran gedacht, dass man dir ein falsches Formular unterschieben könnte welches das Passwort noch zusätzlich woanders hin schickt?

Klar. Daher lese ich in den Fällen auch immer den Quellcode.

Die größte Gefahr sind sowieso schlecht gewartete und damit gehackte Webpräsenzen, Shops usw. Da hilft TLS/SSL dann auch nicht mehr. Oder wenn der Shopbetreiber den Shop mit seiner mit Malware verseuchten Windows-Kiste administriert FTP-Passwort eingegeben und weg. Natürlich FTP TLS/SSL Sicher ist sicher. Ist aber trotzdem weg.
Vielleicht sollte der oben genannte Betreiber einfach mal seine ganzen Rechner mit einem Virenscanner scannen oder seine Serverfarm mal aktualisieren.

[rendegast]

oder seine Serverfarm mal aktualisieren.

Code: Alles auswählen

# nmap -n -P0 -sT -O -p80 dealers.webasto.com

Starting Nmap 6.47 ( http://nmap.org ) at 2016-09-12 11:43 CEST
Nmap scan report for dealers.webasto.com (213.247.45.154)
Host is up (0.021s latency).
PORT   STATE SERVICE
80/tcp open  http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: WAP|general purpose|switch
Running (JUST GUESSING): Linux 2.4.X|2.6.X (97%), D-Link embedded (96%), TRENDnet embedded (96%), HP embedded (94%), Microsoft Windows 2008 (89%)
OS CPE: cpe:/o:linux:linux_kernel:2.4 cpe:/o:linux:linux_kernel:2.6 cpe:/h:dlink:dwl-624%2b cpe:/h:dlink:dwl-2000ap cpe:/h:trendnet:tew-432brp cpe:/h:hp:procurve_switch_4000m cpe:/o:microsoft:windows_server_2008::sp1
Aggressive OS guesses: Tomato 1.27 - 1.28 (Linux 2.4.20) (97%), Linux 2.6.18 - 2.6.22 (97%), D-Link DWL-624+ or DWL-2000AP, or TRENDnet TEW-432BRP WAP (96%), HP 4000M ProCurve switch (J4121A) (94%), Microsoft Windows Server 2008 SP1 (89%)
No exact OS matches for host (test conditions non-ideal).

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.46 seconds




# nmap -n -P0 -sT -O -p80,443 www.webasto.com

Starting Nmap 6.47 ( http://nmap.org ) at 2016-09-12 11:48 CEST
Nmap scan report for www.webasto.com (185.36.117.112)
Host is up (0.023s latency).
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.18 - 2.6.22

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.53 seconds



-----------------------------------------------------------------------------
	This website is powered by TYPO3 - inspiring people to share!
	TYPO3 is a free open source Content Management Framework initially created by Kasper Skaarhoj and licensed under GNU/GPL.
	TYPO3 is copyright 1998-2012 of Kasper Skaarhoj. Extensions are copyright of their respective owners.
	Information and contribution at http://typo3.org/
-->

<base href="https://www.webasto.com/">


<meta name="generator" content="TYPO3 4.7 CMS">

Wohl irgendwas mit kernel 2.x.
TYPO3 4.7 ab 2014-10 nicht mehr supported.