|
Am Wochenende hatte ich Zugang, zu den Kreditauskünften aller Menschen in Deutschland bei Arvato Infoscore. Das bedeutet ich konnte tausende Anfragen stellen und erhielt zu den Personen einen Kreditscore sowie Negativmerkmale der jeweiligen Personen (sowas wie Infos zu Mahnverfahren oder Privatinsolvenzen). https://www.tagesschau.de/wirtschaft/digitales/datenleck-wirtschaftsauskunftei-100.html 78 comments
Wenn ich in zwei Jahren dreimal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten.  @Lilith den Führerschein würde man Leuten entziehen die mehrfach bewiesen haben dass sie nicht geeignet sind. Vielleicht wäre das mit dem Internet-Führerschein doch keine so schlechte Idee. Nur halt (auch) für Unternehmen. Edit: bevor ich noch mehr Hass auf mich ziehe: es gibt die rechtliche Grundlage jemandem den Führerschein zu entziehen der nicht geeignet ist ein Auto zu führen. Natürlich passiert das viel zu wenig weil wir sind ja hier schließlich in Brumm-Brumm-Land. Ich spreche nicht nur von der MPU sondern von viel zu niedrigen Sanktionen gegen Raser, notorische Drängler und anderen, die massiv andere gefährden. Da bräuchte es einfach nur passende Strafen, wie überall sonst in Westeuropa. Wer mit 100 durch den Ort fährt braucht keine MPU, der braucht ein Busticket, fertig, denn es ist völlig egal, ob er das tut, weil er es aus MP Gründen tut oder einfach weil er es kann 🤷♂️ @Lilith ...sie sind nicht nur "nicht geeignet", nein, es ist solchen Unternehmen auch völlig egal, was mit solchen Daten passiert, sonst wären auf Basis Deiner ersten Untersuchung bei einem Scoringunternehmen beim Mitbewerber ggf. mal Sicherheitsvorkehrungen getroffen worden... @Neurotransmitter @Lilith @Lilith und dann auch noch ohne unsere Zustimmung mit unseren Daten sehr viel Geld verdienen.  Im Prinzip ja. Zu LASCHE Scores schaden deren Kunden, also ist das natürlich Priorität.  @Lilith Schaun ma mal was die verschärfte Prodkthaftung für diese Unternehmen bedeutet. Ich gebe auch schon einen Tipp ab: Insolvenz.  @Lilith Mein Gefühl sagt mir hier muss generell mal etwas getan werden, damit die Schlamperei aufhört und Verstoße empfindliche Folgen haben. Sonst ändert sich da nix. Zumindest nicht die Personen, die für dieses Thema angeblich Verantwortung tragen. Je größer die Verantwortung der Stelle, desto größer der Fachkräftemangel. Und viele tragen schwer an ihrer Verantwortung - und zeigen dann einen 10-Kilo-Schein... ;-)  @Lilith IMHO sollte deren #Geschäftsmodell samt #Datensammlung kriminalisiert werden. - Besonders weil die bisherigen "Exploits" nichtmals wirkliche Angriffe fußen. Dass jene Daten bzw. score-Werte dazu geeignet sind, Menschen zu erpressen oder gar ganze Unternehmen zu zerstören wird oft vergessen... Zitat Tagesschau: "Die Berliner Hackerin Lilith Wittmann" Die kapieren es einfach nicht. Ich schreib denen mal: Lilith ist die unabhängige Sicherheitsbeauftragte des Volkes! Basta!   @Lilith @Lilith das sind ja vor allem Unternehmen, die eine Schublade voller Zertifikate haben, die ihnen vernünftige Prozesse und sichere Systeme attestieren. Nach so einem (wiederholten) Finding müssten diese Zertifikate alle sofort pulverisiert werden, mit allen daraus resultierenden Konsequenzen. @Lilith @sudelsurium wurden sie das? Laut North Data ist die Riverty Group GmbH die gleiche Entität wie arvato infoscore GmbH (nur umbenannt in 2022). Es besteht laut North Data auch nach wie vor noch ein Beherrschungsvertrag durch die Reinhard Mohn GmbH. @Lilith So, gerade beim smava die umgehende Löschung meines Accounts und aller Informationen über mich gefordert. Mit Frist zum 21.10. Mal sehen wie die darauf reagieren, oder auch nicht. Mal abgesehen davon das der Laden eine ganz aggressive Art hat einem hinterher zu rennen. > 80 Mails in der letzten 4 Wochen + 10 verschiedene Rufnummern mit > 25 Versuchen in der Blacklist unter +49 30 41733* @Lilith Echt, am Samstag sollen die beteiligten Unternehmen ihre Sicherheitskette kaputt gespielt haben, sodass die Daten trivial verfügbar wurden? Oder waren die Daten im Zweifel schon seit Existenz dieses Portals für "jedermann" verfügbar? (Und sind es vermutlich jetzt noch, über irgendeine andere kaputte API, die nur noch niemand Rechtschaffendes gefunden hat.) @Lilith Ist doch irgendwie traurig auf Dauer, oder? Wäre eine Datenbank mit geheimen tollen Geschichten der Menschen, ihren Erfolgen und Lieben nicht viel schöner? ;) "Dirk K. war 1982 sehr in Tanja N. verliebt. Er ging sogar freiwillig jeden Sonntag in die Kirche, damit er sie dort sehen konnte. Leider hatte er nie den Mut, sie anzusprechen." Ich vermute, das Dokumentieren, Informieren und Geduld bewahren, war wieder mehr Arbeit, als das Parameter ausprobieren (?) Danke jedenfalls, für deine Ausdauer und ich hoffe, dir macht dein Hobby weiter so viel Spaß!  Dafür gibt es sicherlich einen gaaaanz starken Taps aufs Handgelenk. Natürlich direkt gefolgt von sofortiger Entschuldigung und "bitte weiter so". Ich möchte nicht wissen, wo es noch überall möglich ist durch Veränderung von Parametern an sensible Daten zu kommen. Danke für deine Arbeit! @Lilith Wenn ich das nächste Mal im Büro bin, werde ich beim Mittagsspaziergang am Arvato-Campus entlang salbungsvoll eine Facepalm-Geste nach links und rechts machen. Au weia. :blobcatfacepalm2: @Lilith @Lilith Nicht als Herabwürdigung der Leistung gemeint, sondern lediglich eine Info: Privatinsolvenzanträge und die Insolvenzeröffnung sind für jeden öffentlich einsehbar. https://neu.insolvenzbekanntmachungen.de/  @Lilith und genau dieser Konzern ist an der Gematik beteiligt (also Arvato). Was kann da schon schiefgehen?? 😒 @oldperl @Lilith mich ja auch. bestimmte Journalisten darauf stoßen ist zwar auch nicht der offizielle Meldeweg, aber nach den erwähnten vorigen Erfahrungen mit der Branche, und bestätigt durch die geübte Verantwortungsdiffusion "bei _uns_ ist alles okay, _wir_ bieten nur geeignete, geschützte Schnittstellen" kriegt man das Gesamtkonstrukt ohne Presseberichte wohl nicht verbessert. @Lilith  @Lilith Dieses ganze #Kreditrating-/#Wirtschaftsauskunftei-Business ist offenbar sehr verwinkelt. #Arvato #Infoscore gehörte früher zu #Bertelsmann, eine Suche nach "Infoscore Consumer Data" führt allerdings zum Konzern #Experian, der in Dublin sitzt. |
Gregory's Server
Das war möglich, weil das vom Unternehmen smava betriebene Portal "scorekompass" mir erlaubte, dort bei der Anmeldung von neuen Usern einfach einen Hinweis mitzuschicken, der den Account als verifiziert markierte. Damit konnte ich den Identifizierungsprozess per Ausweis/Bankkonto überspringen und bekam direkt Zugriff auf den Score der Person.