AnonyPwnies releasen 500.000 Kundendaten

[docanonymous]

Das Hackerkollektiv "AnonyPwnies" hat am heutigen Mittwoch Mittag 500.000 Kundendaten der Immobilienseite "bluehomes.com" veröffentlicht. Sie selber sollen aber wohl nicht die Angreifer sein, sondern die Daten lediglich veröffentlicht haben. Das erklärte ein Mitglied.

zur News

[LtBill]

Ich finde so etwas nicht in Ordnung!

Anstatt die Dateien zu klauen hätte er lieber dem betreiben einfach eine Mail geschrieben, dass er eine Sicherheitslücke gefunden hat!

Vor allem das er auch noch Anonym bleiben will ist auch wieder so ne Sache..

[Nwabudike]

Schlimmer wäre es gewesen, wenn Daten kopiert wurden, aber kein Angriff festgestellt wurde. Denn dann wäre die Sicherheitslücke auch noch in Zukunft da.

Ich behaupte, dass Sicherheitslücken in einigen Jahrzehnten fasst ausschließlich zur Vergangenheit gehören. Genau wegen dieser Aktionen von heute.

---

Es wissen auch AnonyPwnies, dass die meisten profitorientierten Unternehmen sich keinen Dreck um Sicherheitslücken scheren, weil Geld dicker ist als Sicherheit. Einfach nur auf eine Sicherheitslücke hinweisen ist zu wenig. Die Veröffentlichung der Daten ist ein sehr gutes Argument, die Sicherheitslücke schnell zu schließen, um weiteren Schaden am Image (Profit) zu vermeiden.

Es ist besser für die Zukunft, als ihr denkt.

[deKay89]

Sind solche Hacks moralisch in Ordnung, wenn dabei einfach Kundendaten veröffentlicht werden?

Nein sind sie nicht. Egal von wo, wem oder was.

Die Jungs die das jetzt veröffentlichen sind nachher wieder die ersten die meckern wenn irgendwo ein Datenträger mit Kundendaten verloren geht.

[gerechtigkeit0]

AnonyPwnies... ohne Worte.
Wieso haben die denn die Daten veröffentlich?
Was ist der Sinn? Was bringt es? Was wollen sie damit erreichen?

Und: Sind die es nicht, die es nicht toll finden, wenn auf Anonymität geschissen wird?

Sinn? Logik? ... Anyone?

[StaTiC]

man sollte immer erst den betreiber kontaktieren und etwas warten. sollte sich dann immernoch nichts tun, finde ich es zwar nicht gut für die kunden, aber gerechtfertigt die daten zu veröffentlichen. wenn man mit zuckerbrot nicht jemanden in die gänge kriegt muss es eben die peitsche tun.

[Iblis_Inimicus]

Traurig, traurig...

[T_Zero]

Der Artikel ist etwas missverständlich. AnonyPwnies haben die Daten nicht geleaked, sondern lediglich veröffentlicht, dass sie geleaked wurden.

[IIWhiteHatII]

Ich finde so etwas nicht in Ordnung!

Anstatt die Dateien zu klauen hätte er lieber dem betreiben einfach eine Mail geschrieben, dass er eine Sicherheitslücke gefunden hat!

Vor allem das er auch noch Anonym bleiben will ist auch wieder so ne Sache..

Naja, was eine Mail in der Regel bringt, kann ich dir genau sagen.
Von 10 Hinweisen bekommst du vielleicht 2 Reaktionen/Antworten.
Wir versuchen täglich mehrmals (!) diverse Betreiber auf Schwachstellen
hinzuweisen und sie zur Beseitigung zu bewegen. Das klappt zwar oft
sehr gut und ab und an auch recht schnell, jedoch gibt es gerade bei
größeren Unternehmen in der Regel Probleme. Oft wird einfach ein öffentlicher
Druck benötigt, um die Betreiber zur "Vernunft" zu bringen, bevor
Schlimmeres passiert.

Nun, würden bei derartigen Aktionen nur Informationen an die Öffentlichkeit
gelangen, welche dem Unternehmen selbst schaden, dann wäre es ja noch
annehmbar. Wenn aber Kundendaten in Spiel kommen, dann ist definitiv
nicht in Ordnung und auch nicht nachvollziehbar. Die Kunden solcher Firmen
können absolut rein garnichts für die Blödheit der Betreiber. Bei einer
Veröffentlichung von Kundendaten, sind die Kunden die Bestraften, nicht
die Schuldigen, welche fahrlässig handeln.

Das Veröffentlichen von derartigen Informationen hat absolut keinen Sinn.
Abgesehen davon, sollte man sich als "Hacker" in dem Fall auch überlegen,
ob es nicht auch möglich sein könnte, dass Leute aus dem eigenen Umfeld,
der Familie, den Freunden und Bekannten, Kunden dieser Firmen sind und
vielleicht auch deren Daten im Paket liegen könnten.

Wenn es danach geht, den Firmen Druck zu machen oder sie öffentlich
mit dem angetroffenen Desinteresse darzustellen, dann gibt es andere
Wege. Mit ein wenig Geduld und medialen Druck kann man mehr erreichen,
als mit dem Veröffentlichen von Kundendaten.

[docanonymous]

T-Zero: hast du auch mehr gelesen als die headline?

[StaTiC]

wie gesagt, ich verteufel die veröffentlichung ja nicht komplett. nur finde ich sollte man den unternehmen die chance bieten es ohne großen wirbel auszubessern. z.b. macht es gulli hier auch ganz gut. es wird berichtet über sicherheitslücken, aber nicht welche, sodass mediale aufmerksamkeit besteht aber noch kein schaden angerichtet wurde.

1. unternehmen informieren
2. medien unterrichten, damit sie berichten
3. sensible daten veröffentlichen

in der reihenfolge halte ich es vertretbar.

[Rammsteiner]

man sollte immer erst den betreiber kontaktieren und etwas warten. sollte sich dann immernoch nichts tun, finde ich es zwar nicht gut für die kunden, aber gerechtfertigt die daten zu veröffentlichen.

Wo findest du da bitteschön eine Gerechtfertigung? Diese Aktion ist wiedermal total daneben und ist meiner meinung nach sinnlos und dumm.

Oder wie fändest du es, wenn ich in dein Haus/deine Wohnung einbrechen würde, private Daten stehlen würde und diese im Internet veröffentliche? Da findet man schnell etwas, was nicht für jeden zugänglich sein soll. Du hättest ja ein besseres Schloss an der Tür anbingen können, und so zeige ich dir, dass du nicht ausreichend gesichert bist.

[rockmachine]

nicht in ordnung, das gehört geahndet. der hacker sollte die betreiber informiert haben dass da ne lücke ist. und die ponies sollten sowas nicht online stellen, das ist eine straftat....

[Nwabudike]

Nun, würden bei derartigen Aktionen nur Informationen an die Öffentlichkeit
gelangen, welche dem Unternehmen selbst schaden, dann wäre es ja noch
annehmbar. Wenn aber Kundendaten in Spiel kommen, dann ist definitiv
nicht in Ordnung und auch nicht nachvollziehbar. Die Kunden solcher Firmen
können absolut rein garnichts für die Blödheit der Betreiber. Bei einer
Veröffentlichung von Kundendaten, sind die Kunden die Bestraften, nicht
die Schuldigen, welche fahrlässig handeln.

Personen entscheiden selbst, von welchem Unternehmen sie Kunde werden. Sie hätten genauso gut ein anderes Unternehmen auswählen können und sie können sich jetzt für ein anderes Unternehmen entscheiden, welches mehr Sicherheit verspricht.

[Shadow27374]

Frage an die Leser: Was meint Ihr? Sind solche Hacks moralisch in Ordnung, wenn dabei einfach Kundendaten veröffentlicht werden? Diskutiert das gerne im Forum.

Der normale User weiß nicht ob eine Lücke existiert oder ob seine Daten bei einem Unternehmen korrekt verschlüsselt werden. Sollte es also zu gewöhnlichen Hacks kommen, so erfährt dies niemand. Die Kriminellen können ohne Probleme Daten verkaufen oder anderweitig nutzen.

Sagt man der Bevölkerung, dieses Unternehmen behandelt deine Daten schlecht, sei es durch schwache oder fehlende Verschlüsselung oder durch vorhandene Sicherheitslücken, so interessiert es niemanden. Kein Kunde wird sich beschweren und niemand wird die Mängel beheben. Wieder können Kriminelle ungestört ihrem Werk nachgehen.

Werden allerdings Hacks veröffentlicht, sind die Kunden direkt betroffen und begreifen erst die Tragweite dieser Sicherheitsmängel. Erst dann sind die faulen Menschen bereit sich bei diesen Unternehmen zu beschweren. Nur so werden Mängel beseitigt.
Menschen neigen nun mal leider dazu erst tätig zu werden wenn es weh tut. Daher auch der Spruch "wer nicht hören will muss fühlen".

Also ja es ist in Ordnung und leider sogar notwendig.

[Damnstoner]

ich kenne die vorgeschichte nicht. wenn nichts geschwaerzt wurde, ists beschissen.

koennte man nicht firmen mit bestimmter onlinekundenstammgroesse oder onlineumsatz verpflichten sich gegen failbasierende hacks zu sichern und gefundene sicherheitsluecken zu vergueten?
das mindeste, was man doch gesetzlich machen koennen muesste, waere doch eine verpflichtung zur verschluesselung von kundendaten, und schulungen zu social engineering. spraeche was dagegen?

edit: shadow
meinst du nicht, dass veroeffentlichung von geschwaerzten listen auch erfolg verspricht?
zumal auch noch ein unterschied besteht zwischen:
einem satz daten, der von einem hacker entwendet wurde, und missbraucht oder verkauft und missbraucht wurde
und einem der oeffentlich verbreitet wird, und viel mehr leuten zugaenglich wird.

ich bete, dass das nie mit den beate uhse bestellungen passiert

[Rammsteiner]

Die Kriminellen können ohne Probleme Daten verkaufen oder anderweitig nutzen.

jetzt ists ja besser, weil nicht nur käufer die daten haben, sondern alle!

was für ein vorteil

[Korinthenkacker]

Ja, das war eine heldenhafte Tat!

Kundendaten inkl. E-Mail-Adresse und Passwort im Klartext veröffentlichen... Nur weil man es kann, muss man nicht die Kunden schädigen. Es reicht vollkommen aus dem Betreiber die Chance zu geben die Lücken zu fixen und gleichzeitig die Daten dem Datenschutzbeauftragten des Bundeslandes zu senden, der wird dann schon von sich aus aktiv.

[T_Zero]

T-Zero: hast du auch mehr gelesen als die headline?

Ähm ja? Das war weniger Kritik am Artikel, als Hinweis für andere die es offenbar Falsch verstanden haben (siehe Posts vor meinem)

[SleepProgger]

Ich bin mir nicht so sicher wie gut ich das ganze finde.
Leider scheint es die einzige Möglichkeit zu sein vielen Unternehmen zu zeigen das IT-Sicherheit sehr wohl ein Rolle für das Image und den Umsatz spielt.
Ich meine ernsthaft: SQL-Injections sind relativ einfach zu verhindern.

Des weiteren bedeuten veröffentlichte Daten das die jenigen Personen die Möglichkeit erhalten überhaupt zu erfahren das ihre Daten im Umlauf sind.
Es gibt viele Leute die Scanner laufen lassen um verschiedenste Seiten u.a. auf sqli Möglichkeiten zu scannen.
Das bedeutet diese Daten waren davor wahrscheinlich sowieso im Umlauf oder wären in absehbarer Zeit in Umlauf gebracht worden.