Adam Dyk: Hacker haben Kundendaten von neckermann.de gestohlen.

"Beim Frankfurter Versandhändler Neckermann.de haben Hacker Kundendaten von 1,2 Millionen Gewinnspielteilnehmern gestohlen."

Da fragt man sich schon......... [hab das mal gelöscht]

  1. Hello,

    "Beim Frankfurter Versandhändler Neckermann.de haben Hacker Kundendaten von 1,2 Millionen Gewinnspielteilnehmern gestohlen."

    Da fragt man sich schon......... [hab das mal gelöscht]

    Ich frage mich immer nur, wie solche Datenmengen unerkannt verschwinden können.
    Bei Sony waren es doch angeblich 150.000.000 Kundendatensätze. Das müssten dann doch schon fast 150GByte Daten sein, wenn jeder Kundendatensatz nur 30 Felder  à 32 Bytes enthält.

    Bei Neckermann.de sind es dann eben "nur" 1,2GB...

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
     ☻_
    /▌
    / \ Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de
    1. Hi,

      Ich frage mich immer nur, wie solche Datenmengen unerkannt verschwinden können.

      wenn der Eiffelturm geklaut wird, dann fällt das auf, weil Millionen Pariser Einwohner beim Blick aus einem beliebigen Fenster ihrer Wohnung kein Raketengerüst mehr sehen[1]. Werden hingegen Daten geklaut, sind sie immer noch da - es fehlt nichts. Und dass jemand mit 150 Millionen Kunden[2] tera- bis petabyteweise Traffic von seinen Servern aus wegschaufelt, ist eine IMHO valide Annahme, hinter der schlappe 150GB wie ein Nebenstraßen-Souvenierladen mit Eiffelturm-Miniaturen anmuten. Insofern frage ich mich, wie Du Dir so eine Frage stellen kannst ;-)

      Cheatah

      [1] Sondern beispielsweise statt dessen die Wand des Nachbarhauses. Solange der Eiffelturm in Paris steht, ist er aber aus jedem Fenster sichtbar. Laut Hollywood.

      [2] Jajaja, garantiert hat jemand mit 150 Millionen Kundendaten auch ebenso viele Kunden. Da zweifelt ganz bestimmt niemand dran. Ganz bestimmt.

      --
      X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
      X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
      X-Will-Answer-Email: No
      X-Please-Search-Archive-First: Absolutely Yes
      1. Hello,

        wenn der Eiffelturm geklaut wird, dann fällt das auf, weil Millionen Pariser Einwohner beim Blick aus einem beliebigen Fenster ihrer Wohnung kein Raketengerüst mehr sehen[1]. Werden hingegen Daten geklaut, sind sie immer noch da - es fehlt nichts. Und dass jemand mit 150 Millionen Kunden[2] tera- bis petabyteweise Traffic von seinen Servern aus wegschaufelt, ist eine IMHO valide Annahme, hinter der schlappe 150GB wie ein Nebenstraßen-Souvenierladen mit Eiffelturm-Miniaturen anmuten. Insofern frage ich mich, wie Du Dir so eine Frage stellen kannst ;-)

        Wie lange hat das gedauert, den Eiffelturm zu bauen?
        Wie schnell muss die Datenverbindung sein, um 150GB unbemerkt kopieren zu können?

        Das kann man doch nicht "mal eben" über einen DSL-Dial-In-Zugang schaffen.

        Liebe Grüße aus dem schönen Oberharz

        Tom vom Berg

        --
         ☻_
        /▌
        / \ Nur selber lernen macht schlau
        http://bergpost.annerschbarrich.de
        1. Moin!

          Wie schnell muss die Datenverbindung sein, um 150GB unbemerkt kopieren zu können?

          Das kann man doch nicht "mal eben" über einen DSL-Dial-In-Zugang schaffen.

          Nicht? Angenommen ich hab ne langsame Verbindung (wie ich) und brauche fuer 2 GB ca. ne Stunde. Dann is das bei einer Dauerverbindung in 75 Stunden durch. Ich gehe aber davon aus, dass jemand bei sowas eine "schnelle" Verbindung hat. Dann sind das vielleicht 20 Stunden. Ich hab hier einfach mal mit einer 4x so schnellen verbingung gerechnet, wie ich sie zur Verfuegung habe. Das waere allerdings immer noch recht wenig, im Vergleich zu den Geschwindigkeiten die heutzutage drin sind.

          Natuerlich auch immer vorrausgesetzt, dass der Server da mitmacht und das ganze wirklich mal eben so gemacht wurde und nicht ueber einen laengeren Zeitraum.

          Wie soll Sony das merken? Die ganzen Playstations und PCs ihrer Kunden generieren wohl genug Traffic, dass soetwas im Grundrauschen untergeht.

          Wenn mehrere Maschinen/Personen an diesem Ding beteiligt waren relativiert sich das noch weiter.

          Egal wie ich es drehe und wende, ich sehe kein Problem bei solchen Datenmengen.

          --
          Vergesst Chuck Norris.
          Sponge Bob kann unter Wasser grillen!
          1. Hello,

            Wie soll Sony das merken? Die ganzen Playstations und PCs ihrer Kunden generieren wohl genug Traffic, dass soetwas im Grundrauschen untergeht.

            Wenn man das mit einem Stream in ca. 3-4 Std. heruntergeladen hat, dann sind derartige Größen selbstverständlich feststellbar. Eine vernünftige Sicherheitsstrategie sollte bemerken, wenn z.B. mehr als 100MB am Stück heruntergeladen werden.

            Wenn mehrere Maschinen/Personen an diesem Ding beteiligt waren relativiert sich das noch weiter.

            Das ist sicherlich zu bedenken. Wenn der Diebstahl ausführlich geplant wurde, ist das bestimmt möglich, dass er während der Aktion nicht bemerkt wurde.

            Ab er mir kam noch eine andere Idee. Diese Adress- und Datensammler tauschen sich doch sowieso unerlaubt untereinander aus. Da könnte es doch sein, dass man den "Diebstahl" nur vorgeschoben hat, um im Konfliktfall als Opfer dazustehen, und nicht als Täter...

            Liebe Grüße aus dem schönen Oberharz

            Tom vom Berg

            --
             ☻_
            /▌
            / \ Nur selber lernen macht schlau
            http://bergpost.annerschbarrich.de
            1. Hoi!

              Ab er mir kam noch eine andere Idee. Diese Adress- und Datensammler tauschen sich doch sowieso unerlaubt untereinander aus. Da könnte es doch sein, dass man den "Diebstahl" nur vorgeschoben hat, um im Konfliktfall als Opfer dazustehen, und nicht als Täter...

              Denke nicht. Waere natuerlich moeglich, aber derart schlechte Publicity, der Ausfall des Netzwerks und all die freien Spieltage die Sony deshalb rausgehauen hat, wuerde wohl nur ein extremer GAU rechtfertigen. Duerfte Sony einiges an Geld gekostet haben, der Spass.

              Ich denke da immer lieber an die freundliche Konkurrenz, die damit nicht nur dem Flaggschiff, sondern der ganzen Flotte eine ordentliche Breitseite verpasst haette.

              --
              Vergesst Chuck Norris.
              Sponge Bob kann unter Wasser grillen!
            2. Hallo,

              Ab er mir kam noch eine andere Idee. Diese Adress- und Datensammler tauschen sich doch sowieso unerlaubt untereinander aus. Da könnte es doch sein, dass man den "Diebstahl" nur vorgeschoben hat, um im Konfliktfall als Opfer dazustehen, und nicht als Täter...

              Dank Listenprivileg ist es kaum notwendig, hier Scharaden zu treiben. Davon abgesehen ist das BDSG eh ein ziemlich zahnloser und beißfauler Tiger.

              1. Hello,

                Dank Listenprivileg ist es kaum notwendig, hier Scharaden zu treiben. Davon abgesehen ist das BDSG eh ein ziemlich zahnloser und beißfauler Tiger.

                Sieh da, sieh da. Das hatte ich vollkommen übersehen. Dann kann ich also meine 5500 Hotel-, Pensions- und Ferienwohnungsvermieteradressen aus dem Harz auch verkaufen/vermieten?

                Liebe Grüße aus dem schönen Oberharz

                Tom vom Berg

                --
                 ☻_
                /▌
                / \ Nur selber lernen macht schlau
                http://bergpost.annerschbarrich.de
                1. Hallo Tom,

                  »» Sieh da, sieh da. Das hatte ich vollkommen übersehen. Dann kann ich also meine 5500 Hotel-, Pensions- und Ferienwohnungsvermieteradressen aus dem Harz auch verkaufen/vermieten?

                  IANAL, aber (Ex-)DSB. Ja, dürftest du (§ 28 Absatz 3 Satz 2 Nr. 1). Zumindest all die Adressen, gegen deren Weitergabe nicht explizit widersprochen wurde (§ 28 Absatz 4 BDSG, Opt-out).

                  Allerdings bist du mit 5500 Adresse ein sehr kleiner Fisch, wenn die Adressen nicht gerade SEHR umfangreich angereichert sind - und dann fallen sie nicht mehr unters Listenprivileg (§ 28 Absatz 3 Satz 3).

                  Gruß
                  Christoph

          2. Nun, vielleicht habt ihr auch schon mal von den aus Hollywood-Filmen bekannten cent-Betrügereien gehört, wo immer nur minimale virtuelle Rundungsbeträge auf andere Konten überwiesen werden und dabei Millionen von Dollars zusammenkommen? Das beste Loch ist das, welches niemand bemerkt. Wenn binnen kürzerer Zeit auf einmal Gigabytes über Netzwerkleitungen abgesaugt werden, dann fällt das vielleicht in irgendeinem Monitoring auf. Wenn stattdessen immer nur ein paar Bytes davonschwimmen ...

            ganz nach dem Motto: Kleinvieh macht auch Mist!

            Ciao, Frank

            1. Hello,

              Nun, vielleicht habt ihr auch schon mal von den aus Hollywood-Filmen bekannten cent-Betrügereien gehört, wo immer nur minimale virtuelle Rundungsbeträge auf andere Konten überwiesen werden und dabei Millionen von Dollars zusammenkommen? Das beste Loch ist das, welches niemand bemerkt. Wenn binnen kürzerer Zeit auf einmal Gigabytes über Netzwerkleitungen abgesaugt werden, dann fällt das vielleicht in irgendeinem Monitoring auf. Wenn stattdessen immer nur ein paar Bytes davonschwimmen ...

              ganz nach dem Motto: Kleinvieh macht auch Mist!

              Na dann doch am besten als Spiegelung des Speichermediums. Immer schön zeitnah.

              Liebe Grüße aus dem schönen Oberharz

              Tom vom Berg

              --
               ☻_
              /▌
              / \ Nur selber lernen macht schlau
              http://bergpost.annerschbarrich.de
    2. Hallo,

      Ich frage mich immer nur, wie solche Datenmengen unerkannt verschwinden können.
      Bei Sony waren es doch angeblich 150.000.000 Kundendatensätze. Das müssten dann doch schon fast 150GByte Daten sein, wenn jeder Kundendatensatz nur 30 Felder  à 32 Bytes enthält.

      Es handelte sich - nach Angaben Neckermanns - um drei Felder: Vorname, Nachname und E-Mail-Adresse. Exakt das, was man bei einem einfachen Gewinnspiel zur Newsletteradressgenerierung wohl speichern würde. Insofern hält sich die Menge an Daten tatsächlich in Grenzen. Ich würde auch nicht darauf bauen, dass so ein Nebensystem groß beobachtet wird, insofern können vermutlich auch große Datenmengen bequem und unbemerkt wegtransferiert werden - zumal bei einer Server-zu-Server-Kopie Bandbreite nicht mehr so das riesige Thema ist (man kann sowas übrigens auch bequem zu S3 oder Konsorten hochladen, wo man praktisch anonym Daten speichern kann).

      So wie sich das ganze liest, wurde nur genau dieses System geknackt. Wie genau das passiert ist, lässt sich nur vermuten, wäre aber als Leerstück sicher interessant.

      Grüße,
      Christoph