Conrad Electronic wurde Opfer eines Hackerangriffs

Thread Starter
Mitglied seit
06.03.2017
Beiträge
112.372
conrad.jpg
Eigentlich heißt es ja beim Elektronik-Versandhandel Conrad: “Don’t panic, I’m a mechanic”, jedoch ist beim deutschen Familienunternehmen jetzt sehr wohl Grund zur Panik angesagt. Wie die Conrad Electronic SE am vergangenen Dienstag bekannt gab, ist es Hackern gelungen, Zugriff auf rund 14 Millionen Kundendaten des Unternehmens zu erhalten. Dazu zählen neben den IBAN-Nummern, Versand- und E-Mailadressen. Ebenfalls fanden die Angreifer im besagten Datensatz die Telefon- und Faxnummern der Conrad-Kunden.Laut dem Unternehmen konnten die Hacker jedoch nicht die Kreditkartennummern, bzw. Kundenpasswörter abgreifen. Zudem gibt es laut Conrad aktuell keine Hinweise darauf,...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ähnliches ist auch Mindfactory vor einigen Jahren widerfahren.

Das einige Firmen nicht aus dem Fehlern der Mitbewerber gelernt haben und Ihre Sicherheitsvorkehrungen verstärkt haben.

Hoffentlich lernen die daraus und verbessern Ihre IT-Infrastruktur und einige andere Verhaltensnormen!
 
Ähnliches ist auch Mindfactory vor einigen Jahren widerfahren.

Das einige Firmen nicht aus dem Fehlern der Mitbewerber gelernt haben und Ihre Sicherheitsvorkehrungen verstärkt haben.

Hoffentlich lernen die daraus und verbessern Ihre IT-Infrastruktur und einige andere Verhaltensnormen!

Es müssen nicht mal die Fehler der Mitbewerber sein.. Conrad ist das ja schonmal passiert ;)
Onlineshop: Datenpanne bei Conrad.de - Golem.de

Finde es interessant das solche Datenleaks häufig in Kombination mit Elasticsearch auftauchen.
 
Des Weiteren gab das Familienunternehmen bekannt, dass man aufgrund des unerlaubten Eindringens in IT-Systeme bereits eine Strafanzeige beim Landeskriminalamt gestellt habe.

Hoffentlich eine Selbstanzeige.
 
Wenn sie es wie YouTube machen zeigen sie ihre Kunden an, für die Fahrlässigkeit persönliche Daten bei Conrad zu speichern :lol:
 
Genau - weil du ja auch noch nie einen Fehler gemacht hast...

Fehler im Sinne von "mir sind noch keine 14 Millionen Kundendaten verloren gegangen"?
Dann stimmt es, ich habe noch nie einen Fehler gemacht.

Oder Fehler im Sinne von "Scheiße gebaut", aber mit der Konsequenz "kann ja mal passieren"? Diese Aussage wäre von einem Moderator des Forums hinsichtlich Datenschutz HIER wirklich spannend.
 
Fehler im Sinne von "mir sind noch keine 14 Millionen Kundendaten verloren gegangen"?
Dann stimmt es, ich habe noch nie einen Fehler gemacht.
Nur das hier dann eine Selbstanzeige nicht zielführend ist - sie haben ja schließlich nicht extra irgendwo ne Datenbank abgelegt, sondern vermutlich höchstens fahrlässig gearbeitet. Und natürlich ist das für das Unternehmen so schon hart genug und es wird sich garantiert nach der Meldung an die Datenschützer einer mal genauer Conrad anschauen. Was dabei dann rumkommt ist offen, aber hier mit ner Mistgabel durchs Dorf laufen ist einfach nicht zielführend.
Weiterhin dürfte es eine Sicherheitslücke gewesen sein, wer weiß ob es da an ungepatchten Systemen oder tatsächlich eine unbekannte Lücke gab? Wir leben in Zeiten von Computern und Co nunmal in einer Welt in der Code -der von Menschen erstellt wurde- Fehler enthalten kann.

Oder Fehler im Sinne von "Scheiße gebaut", aber mit der Konsequenz "kann ja mal passieren"? Diese Aussage wäre von einem Moderator des Forums hinsichtlich Datenschutz HIER wirklich spannend.
Da ich hier weder angestellt bin, noch Geld für meine Tätigkeit bekomme, noch in die technischen Prozesse im Hintergrund einblick habe kann ich dich im Hinblick Datenschutz nur an Dennis verweisen. -> Datenschutzerklärung - Hardwareluxx
 
Zuletzt bearbeitet:
Es müssen nicht mal die Fehler der Mitbewerber sein.. Conrad ist das ja schonmal passiert ;)
Onlineshop: Datenpanne bei Conrad.de - Golem.de

Finde es interessant das solche Datenleaks häufig in Kombination mit Elasticsearch auftauchen.

Passiert sehr gerne mal, bei der eher undurchsichtigen Art und Weise, wie man ES abzusichern hat, XPack sei dank.
Dann lauscht der Cluster halt noch auf :::9200 und schon wars das mit der Datensicherheit.
 
Die mutmaßlichen Täter trugen also eine Guy Fawkes Maske? So ein Pech aber auch, sonst wäre es zu einfach, die zu ermitteln.
 
Oder Fehler im Sinne von "Scheiße gebaut", aber mit der Konsequenz "kann ja mal passieren"? Diese Aussage wäre von einem Moderator des Forums hinsichtlich Datenschutz HIER wirklich spannend.

Evtl. sollte man sich mal vorher schlau machen, was "Moderator" in einem Forum bedeutet, bevor man anfängt große Töne zu spucken.
Die Mods hier sind nichts anderes als einfache User, wie jeder andere auch.
Der einzige Unterschied ist, dass sie durch positives Verhalten aufgefallen sind und entweder passiv oder aktiv in das Moderatoren-Team "geworben" wurden.
Die Konsequenz dessen ist, dass sie 2-3 Buttons mehr haben als einfache User, um damit bestimmte Handlungen im Forum durchzuführen.
Weiterhin haben sie in Bezug auf das Verhalten der User eine gewisse Moderation-/"Weisungs"befugnis.
..neben dem Fakt, dass sie unentgeltlich Freizeit opfern... (wie wohl jeder andere User auch)

Das wars.

Sprich also, deine Unterstellung hier gilt also gleichermaßen für alle anderen (normalen) User auch. Wenn sowas für dich spannend ist, dann mal viel Spaß.
Ansonsten tuts bei dir evtl. auch schon nen Überraschungsei.
 
Zuletzt bearbeitet:
Perfekt geschrieben! Ich frage mich nur, warum das so viele Menschen nicht kapieren? Brauchen die alle eine Art "Leithammel"?
 
underclocker2k4

+1

Wo ist verdammt nochmal der Danke Button.
 
Fehler im Sinne von "mir sind noch keine 14 Millionen Kundendaten verloren gegangen"?
Dann stimmt es, ich habe noch nie einen Fehler gemacht.

Oder Fehler im Sinne von "Scheiße gebaut", aber mit der Konsequenz "kann ja mal passieren"? Diese Aussage wäre von einem Moderator des Forums hinsichtlich Datenschutz HIER wirklich spannend.
Sorry, aber ich hasse es auch wie immer die Unternehmen für die Verbrechen von Angreifern schuldig gemacht werden!
Man kann Millionen in IT Security stecken und trotzdem kann ein Datenleck vorkommen. Es gibt doch praktisch kein Nutzerdaten verarbeitendes Großunternehmen auf der Welt dem das nicht schon wiederfahren ist.

Man muss sich doch nur die ganzen "Breaches" hier anschauen: https://haveibeenpwned.com/
Daraus kann man mit gesundem Menschenverstand nicht allen ernstes schlussfolgern: "Oh, klar, all diese Unternehmen haben einfach nicht genau auf Sicherheit geachtet..."
Blödsinn.
Mit aktuellen Technologien ist absolute VERTEIDIGUNG nicht möglich und damit muss man leben.
Die Unternehmen haben sich bereits damit abgefunden und lassen solche Angriffe darum oft (recht teuer) versichern.

Viel mehr sollte man nach mehr Ansätzen suchen die Täter dingfest zu machen. Leider werden viele von denen direkt oder indirekt von Nicht-NATO zugehörigen Regierungen geschützt.
 
Zuletzt bearbeitet:
Man kann Millionen in IT Security stecken und trotzdem kann ein Datenleck vorkommen. Es gibt doch praktisch kein Nutzerdaten verarbeitendes Großunternehmen auf der Welt dem das nicht schon wiederfahren ist.

Ist wirklich so, eine 100% Sicherheit gibt es nicht, auser man nutzt das Internet nicht, dann kannst aber auch nur local anbieten und erreichst viel viel weniger Menschen.
 
Sorry, aber ich hasse es auch wie immer die Unternehmen für die Verbrechen von Angreifern schuldig gemacht werden!

Und ich hasse Leute die Unternehmen immer vollkommen unberechtigt in Schutz nehmen. Jeder Affe hätte die Daten abziehen können da sie nicht geschützt waren sondern offen im Internet zugänglich. Wer seine Elasticsearch-Datenbank offen im Internet hängen hat ohne irgendwelche Authentifizierung verdient kein Mitleid, auch sind hier eindeutig die Leute bei Conrad die Vеrbrecher da sie die Daten ihrer Kunden nicht geschützt haben.
 
Zuletzt bearbeitet:
Es ging ja nicht direkt um den Fall, sondern wurde ja recht allgemein geschrieben. Klar, so was sollte auf keinen Fall vorkommen was du schreibst. Ich finde es auch überhaupt nicht gut, aber eine 100% Sicherheit gibt es halt leider wirklich nicht, wenn du rein magst, kommst du wenn du genug Wissen hast auch irgendwie rein.
 
Zuletzt bearbeitet:
...wie wäre es denn, wenn die unternehmen ihre sensiblen daten nur noch in ihrem eigenen intranet speichern?
aber sogar alle banken schwatzen den "normalo kunden" ja immer die unsichersten verbindungen auf! (smart apps etc. zum angeblich "sicheren" online banking)
in 2 jahren kann man sich wahrscheinlich gegen sowas versichern lassen (datenklau und missbrauch)
kostet dann wahrscheinlich monatlich so um die 20 euro ;)
 
Und ich hasse Leute die Unternehmen immer vollkommen unberechtigt in Schutz nehmen. Jeder Affe hätte die Daten abziehen können da sie nicht geschützt waren sondern offen im Internet zugänglich. Wer seine Elasticsearch-Datenbank offen im Internet hängen hat ohne irgendwelche Authentifizierung verdient kein Mitleid, auch sind hier eindeutig die Leute bei Conrad die Vеrbrecher da sie die Daten ihrer Kunden nicht geschützt haben.


+1

Wo ist der Danke-Button für Leute, die Sachverständis anstelle von Korvettenkapitän/Moderator-Titel oder sonstige Spam-Nachweise haben.
 
Zuletzt bearbeitet:
...wie wäre es denn, wenn die unternehmen ihre sensiblen daten nur noch in ihrem eigenen intranet speichern?
aber sogar alle banken schwatzen den "normalo kunden" ja immer die unsichersten verbindungen auf! (smart apps etc. zum angeblich "sicheren" online banking)
in 2 jahren kann man sich wahrscheinlich gegen sowas versichern lassen (datenklau und missbrauch)
kostet dann wahrscheinlich monatlich so um die 20 euro ;)
Die Daten sind nunmal nicht zum Spass da. Sie werden gebraucht wenn ein Nutzer mit Account, eine Bestellung aufgeben will.
Entsprechend muss zwingend irgendeine Verbindung nach aussen bestehen.

Btw. solang man nicht das Banking auf dem selben Phone wie die App macht, sind die apps mindestens so sicher wie klassische Tangeneratoren und dabei halt komfortabler.
Selbst der Großkonzern für den ich arbeite setzt für den Zugang von einigen internen Diensten, auf so eine App.
 
Zuletzt bearbeitet:
Die Unternehmen sind gesetzlich und moralisch zum entsprechend vorsichtigen Umgang mit Personendaten verpflichtet. Es ist kein Service und kein Entgegenkommen, sondern eine Pflicht, deren Nichterbringung hart bestraft werden muss. Die eigentlich Opfer einer solchen Sache nicht etwa die Konzerne sondern eben die Privatkunden, denn die müssen im Zweifelsfall gegen harten Widerstand ihr Recht durchsetzen; und zwar Jeder für sich selbst,
So lange es aber finanziell vorteilhaft ist, an der IT-Abteilung zu sparen, weil gesetzlich keine automatische Entschädigung an private Opfer in angemessener Höhe vorgesehen ist, werden sie daran munter weiter sparen wie bisher, trotz aller Empfehlungen der eigenen Experten. Lebenslänglich schwierigst zu identifizierender SPAM dank echter Daten und öffentlicher Verlust der Privatsphäre, da käme berechtigter Weise Einiges an angemessener Aufwandsentschädigung und Schmerzensgeld zusammen.

Der fahrlässige Umgang mit persönlichen Daten, ein sehr vorteilhaftes Geschäft für diese netten, kleinen Unternehmen, die ja gar Nichts dafür können, dass sie zum großen Teil überhaupt erst kein Budget für IT-Sicherheit eingeplant haben.
 
Zuletzt bearbeitet:
Dass Conrad&Co hin und wieder Sicherheitslecks haben, wundert mich nicht.
Aber was mir besonders Angst macht, wenn nun alle Ärzte verpflichtend die Telematikinfrastruktur für die Gesundheitskarte einführen müssen. Die ärztlichen Befunde und verschriebenen Medikamente werden über schlecht gesicherte Kommunikationskanäle übertragen. Und die Speicherung der Daten übernimmt noch nicht einmal der Staat, sondern ein externes Unternehmen. Und das wird primär wirtschaftlichen Interessen nachgehen, als die Sicherheit zu maximieren.

Eine geklaute IBAN kann ich ändern. Die geklauten Gesundheitsdaten nicht. Wer das ähnlich sieht wie ich, kann sich der Petition anschließen.
 
Elmario du sprichst mir aus der Seele.
Danke fuer deinen Beitrag!
 
Die Daten sind nunmal nicht zum Spass da. Sie werden gebraucht wenn ein Nutzer mit Account, eine Bestellung aufgeben will.
Entsprechend muss zwingend irgendeine Verbindung nach aussen bestehen.
Nein muss sie nicht, man speichert keine Daten die man zum aufgeben einer Bestellung braucht in einem ELK Stack sondern in einer Datenbank wie PostgreSQL, DB2, MongoDB oder MariaDB. Die Datenbank die da offen im Internet hing wurde wahrscheinlich von BI oder zum Debuggen genutzt. Beides muss keinerlei Verbindung zum Internet haben.
Btw. solang man nicht das Banking auf dem selben Phone wie die App macht, sind die apps mindestens so sicher wie klassische Tangeneratoren und dabei halt komfortabler.
Selbst der Großkonzern für den ich arbeite setzt für den Zugang von einigen internen Diensten, auf so eine App.

Ich hab jetzt schon für mehrere Großkonzerne gearbeitet und dort ist Sicherheit nebensächlich, das einzige was da gemacht wird ist ass covering und compliance damit man immer auf andere zeigen kann. Auch scheinst du nicht den Unterschied zwischen TOTP und dem selbst gestricktem Pseudo krypto den Banken einsetzen zu kennen.
Banken sind in den Achtzigern hängen geblieben, sie nutzen ausschließlich Kryptografie die sie brechen können und setzen darauf das nur sie das können da ja niemand anderes den Algorithmus kennt, da er closed source ist.

Deine Traumwelt in der du lebst muss echt schön sein. :lol:
 
dort ist Sicherheit nebensächlich, das einzige was da gemacht wird ist ass covering und compliance damit man immer auf andere zeigen kann.
Das ist schon ziemlich asi und klappt nur, weil es gesellschaftlich toleriert wird.
What?
Banken sind in den Achtzigern hängen geblieben, sie nutzen ausschließlich Kryptografie die sie brechen können und setzen darauf das nur sie das können da ja niemand anderes den Algorithmus kennt, da er closed source ist.
Really?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh