Gregory's ServerDas war möglich, weil das vom Unternehmen smava betriebene Portal "scorekompass" mir erlaubte, dort bei der Anmeldung von neuen Usern einfach einen Hinweis mitzuschicken, der den Account als verifiziert markierte. Damit konnte ich den Identifizierungsprozess per Ausweis/Bankkonto überspringen und bekam direkt Zugriff auf den Score der Person.
|
39 comments
 @Lilith den Führerschein würde man Leuten entziehen die mehrfach bewiesen haben dass sie nicht geeignet sind. Vielleicht wäre das mit dem Internet-Führerschein doch keine so schlechte Idee. Nur halt (auch) für Unternehmen. Edit: bevor ich noch mehr Hass auf mich ziehe: es gibt die rechtliche Grundlage jemandem den Führerschein zu entziehen der nicht geeignet ist ein Auto zu führen. Natürlich passiert das viel zu wenig weil wir sind ja hier schließlich in Brumm-Brumm-Land. Ich spreche nicht nur von der MPU sondern von viel zu niedrigen Sanktionen gegen Raser, notorische Drängler und anderen, die massiv andere gefährden. Da bräuchte es einfach nur passende Strafen, wie überall sonst in Westeuropa. Wer mit 100 durch den Ort fährt braucht keine MPU, der braucht ein Busticket, fertig, denn es ist völlig egal, ob er das tut, weil er es aus MP Gründen tut oder einfach weil er es kann 🤷♂️ @Lilith ...sie sind nicht nur "nicht geeignet", nein, es ist solchen Unternehmen auch völlig egal, was mit solchen Daten passiert, sonst wären auf Basis Deiner ersten Untersuchung bei einem Scoringunternehmen beim Mitbewerber ggf. mal Sicherheitsvorkehrungen getroffen worden... @Neurotransmitter @Lilith @Lilith und dann auch noch ohne unsere Zustimmung mit unseren Daten sehr viel Geld verdienen.  Im Prinzip ja. Zu LASCHE Scores schaden deren Kunden, also ist das natürlich Priorität.  @Lilith Schaun ma mal was die verschärfte Prodkthaftung für diese Unternehmen bedeutet. Ich gebe auch schon einen Tipp ab: Insolvenz.  @Lilith Mein Gefühl sagt mir hier muss generell mal etwas getan werden, damit die Schlamperei aufhört und Verstoße empfindliche Folgen haben. Sonst ändert sich da nix. Zumindest nicht die Personen, die für dieses Thema angeblich Verantwortung tragen. Je größer die Verantwortung der Stelle, desto größer der Fachkräftemangel. Und viele tragen schwer an ihrer Verantwortung - und zeigen dann einen 10-Kilo-Schein... ;-)  @Lilith IMHO sollte deren #Geschäftsmodell samt #Datensammlung kriminalisiert werden. - Besonders weil die bisherigen "Exploits" nichtmals wirkliche Angriffe fußen. Dass jene Daten bzw. score-Werte dazu geeignet sind, Menschen zu erpressen oder gar ganze Unternehmen zu zerstören wird oft vergessen... Zitat Tagesschau: "Die Berliner Hackerin Lilith Wittmann" Die kapieren es einfach nicht. Ich schreib denen mal: Lilith ist die unabhängige Sicherheitsbeauftragte des Volkes! Basta!   @Lilith @Lilith das sind ja vor allem Unternehmen, die eine Schublade voller Zertifikate haben, die ihnen vernünftige Prozesse und sichere Systeme attestieren. Nach so einem (wiederholten) Finding müssten diese Zertifikate alle sofort pulverisiert werden, mit allen daraus resultierenden Konsequenzen. |
Wenn ich in zwei Jahren dreimal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten.