Faule ausrede des tages

Wisst ihr, woran es lag, dass „domainfactory“ neulich die gesamte kundendatenbank veröffentlicht hat? An einer seit oktober 2016 gefixten sicherheitslücke, wie der kräcker behauptet? Mitnichten! Es lag an der DSGVO!!!1!

Aber hej…

[…] der Angreifer hatte auch Zugriff auf mehrere Systeme im Netz der Firma

…wenn der kräcker da lustig im netzwerk rummachen kann, liegt das ganz sicher nicht am datenschutz. :mrgreen:

Auch weiterhin viel spaß mit den PResseerklärten lügen irgendwelcher datenschleudern! Wisst ja: der schutz eurer daten steht an oberster stelle und die unannehmlichkeiten bei irgendwelchen vorfällen werden sehr bedauert. Oh, so ein sehres bedauern!

Digital first, bedauern second!

via Fefe

Wisst ihr noch?

DIRTY COWWisst ihr noch? Dirty cow? Überall im oktober 2016 gefixt. Wirklich überall? Mitnichten, bei „domainfactory“ wurde „dirty cow“ angeblich im juli 2018 für einen kräck ausgebeutet. Da möchte ich nicht wissen, wie der rest der security bei „domainfactory“ aussieht… 😦

Betroffene des datenlecks fordere ich dazu auf, von ihren rechten nach DSGVO gebrauch zu machen und mindestens einen schadenersatz für ihren zeitlichen aufwand mit dieser von „domainfactory“ verbockten riesenscheiße rauszuholen. Also:

  1. Auskunft von „domainfactory“ einfordern!
  2. Den mutmaßlich grob fahrlässigen verstoß gegen die DSGVO bei der nächsten polizeidienststelle zur anzeige bringen!
  3. Schadenersatz einfordern.

Ich bin wirklich daran interessiert, zu sehen, ob diese DSGVO nur ein gesetz zur einschüchterung privater und mittelständischer webseit-betreiber ist, das niemals gegen wirtschaftsunternehmen und großdatenschleuderei angewendet wird, oder ob sich die situazjon der betroffenen solcher datenschleudereien wirklich verbessert hat.

Ach ja, auch weiterhin viel spaß beim festen glauben an den euch überall versprochenen schutz euer persönlichen daten! Die liste wäxt und wäxt und wäxt. 😦

Nachtrag: „ein pfund gehacktes bitte“ beim webrocker

Datenschleuder des tages

Die Host-Europe-Tochter Domainfactory, einer der größten Webhoster auf dem deutschen Markt, hat mit einem Einbruch in ihre Systeme zu kämpfen. Ein Unbekannter hatte am Dienstag im Support-Forum der Firma behauptet, in deren Kundendatenbank eingebrochen zu sein. Als Beweis dafür gab er interne Daten mehrerer Kunden preis, die dann prompt die Korrektheit der Informationen bestätigten

Wisst schon, auch weiterhin viel spaß beim festen glauben und die liste wäxt und wäxt und wäxt. Und bitte gar nicht erst die Frage stellen, wozu um alles in der welt…

Sollte der uns vorliegende Auszug sich mit dem decken, was der Angreifer über andere Kunden erbeutet hat, so hat er Kenntnis der Klarnamen, Adressen, Telefonnummern, Mailadressen, Telefon-Passwörter, Bankdaten und einiger anderer persönlicher Informationen wie etwa Teile des Schufa-Scorings der Kunden

…bei einem 08/15-webhosting die speicherung der schufa-bewertung in der datenbank erforderlich sein sollte! Daten werden halt angesammelt. Und nicht wieder gelöscht. Niemals. Das wäre ja widernatürlich. Das ist schließlich der rohstoff des 21. jahrhunderts, die datensammlungen können ja irgendwann mal richtig etwas wert sein. Und ansonsten gilt, na, was gilt wohl:

Der Schutz der Daten unserer Kunden steht an oberster Stelle und wir bedauern die Unannehmlichkeiten, die dieser Vorfall verursacht, sehr

Digital first, bedauern second. :mrgreen:

Nachtrag: Dann frage ich mal die aufsichtsbehörde

Spezjalexperten in enterprise-kwalität bei der „domainfactory GMBH“ m(

Achtung, hier der goldene facepalm des monats, leider mit dem zwitscherchen als primärkwelle:

Tweet von @tryvann: "Registry Expert / Senior Systemadministration" von @DomainFactory fragt nach Private Key um die Zertifikatsausstellung abzuschließen. WTF?!

Auch die weiteren S/M-kommunikazjonsleistungen der spezjalexperten von der „domainfactory GMBH“ — hier auch als bildschirmfoto, damit niemand zum träckenden zwitscherchen rübermuss, das ohne javascript nicht läuft — zeugen nicht gerade von kompetenz und einsicht.

Wer nicht versteht, wo das problem liegt: ein private key heißt so, weil er nicht in fremden besitz kommen darf. Das ist grundlage moderner kryptoverfahren. Den gibt man nicht heraus. An niemanden. Und es ist auch niemals für irgendeine dienstleistung erforderlich.

Wer zur abgabe eines private key auffordert, ist entweder völlig inkompetent oder ein riesengroßes arschloch mit sinistren absichten. Beide möglichkeiten sind übrigens keine empfehlung, kunde bei der „domainfactory GMBH“ zu werden, ganz im gegenteil. Wäre ich dort kunde, würde ich meinen vertrag kündigen, nachdem mir so eine sache auch nur halbwegs gesichert zu ohren gekommen ist, und zwar fristlos, weil jedes vertrauen in den vertragspartner unrettbar zerstört wurde. Das ist keine kleinigkeit, es handelt sich mindestens um nicht vorhandene kernkompetenzen für deren vertragserfüllung oder sogar um einen versuch, material für kriminelle manipulazjonsmöglichkeiten mit irreführenden aussagen zu beschaffen.

Habe ich schon gesagt, dass ich davon abrate, kunde der „domainfactory GMBH“ zu sein.

Gut, dann habe ich ja das wichtigste gesagt.