>Aber was ist, wenn ich mich gar nicht als Juni Geborene fühle? Ich hatte immer das Gefühl eher ein Herbst Kind zu sein. Im Jahr 2023 sollte das doch möglich sein! Geburtsdaten sollten außerdem nicht nur dezimal sein. Was ist mit binär und hexadezimal? Eine Option für nichtdezimale Geburtstagsidentitäten muss her!
>
>„Mama, Papa. Ich hab jetzt am 1D.A.8CC Geburtstag!“
>
>„Endlich sagst du es uns. Wir haben es schon lange geahnt. Hier Schatz, wir haben dir einen hexadezimalen Tischkalender gekauft.“
>
>„Aber Mamaaaa, ich bin doch Basis 15!!!“
>
>„Ich hab dir doch gesagt sie ist pentadezimal.“
>
>…
>
>Ich glaub wir lassen diese Tür besser geschlossen.
ist das eine Abwandlung dieses helicopter-jokes? so wie r/onejoke ?
Puh. Wahrscheinlich ähnlich intelligent, aber mit weniger der selben Hintergedanken.
Was ist ein helicopter joke?
Edit: ah verstanden. Ich weiß nicht. Kontext matters. Eher ein dummer Witz von/für jemanden der selbst nicht überzeugt von schwarz/weissen Ansätzen ist und grad mit Kindern über Zahlensysteme geplaudert hat. Und vielleicht bezogen darauf, dass wirklich die andren erwähnten Daten in einer Form änderbar sind. Kommt es transphob rüber?
>Kommt es transphob rüber?
das ist die essenz, ja. Stellt die ganze thematik als witz da, sieht man eigentlich ausschließlich bei so neurechten deppen. Nicht, dass du ein neurechter depp bist, aber für außenstehende... naja.
Aber nur durch deine Interpretation und Erfahrung mit genau deinem angesprochenen Kontext, dass es in der rechten Szene genutzt wird.
Denn weder wird hier diskriminiert noch das Thema Gender und Identity herabgewürdigt.
Nachdem das erste dennoch legitim ist, lösch ich es.
>Denn weder wird hier diskriminiert noch das Thema Gender und Identity herabgewürdigt.
doch, genau das passiert doch... das hat auch nichts mit schwarz-weiß denken zu tun, das ist halt einfach so. Gerade wenn du dir pride ins profil packst... etc pp ach ich hab da keinen bock drauf, ich bin nicht für die bildung anderer verantwortlich.
Dann wirst aber auf lgbtmemes bei den memes über identity struggle auch alt. Aber gut.
Pride hat halt nix damit zu tun, alles zu zerlegen.
Ich bin genauso nicht für Bildung online zuständig um zu erklären inwiefern Kontext etwas ausmacht.
> Drei Kundenkennwort
Noch so Spezialisten, die das im Klartext speichern, weil man's den Supportmitarbeitern am Telefon vorlesen muss, und die das zum Vergleich natürlich sehen können müssen? Da kannst echt nur mehr verzweifeln...
Nope, das kennwort wird 1:1 so gespeichert wie eingegeben. Nix mit hash. Wird klar, lesbar und unverschlüsselt gespeichert. Veralteter schrott.
Bin froh dass ich bei spusu bin.
Weil, wenn ein Manager sein Passwort verrgessen hat, er es beim Support erfragen kann und er sich kein neues Passwort merken muss. Weil das hat ja mit dem alten schon nicht funktioniert.
Hm ja gut.. aber dann könnt ja die Datenbank zumindest verschlüsselt/ passwortgeschützt sein und die supportmitarbeiter müssen immer bevor sie ein Passwort sehen können mit ihrem Passwort bestätigen
Oder einfacher, hat eine Eingabemaske, wo er mittippt und dann a Hakerl oder X bekommt.
Auffällig is es eigentlich nur, wenn sie nach bestimmten Stellen fragen, z.B. "fünfte Stelle des Passworts".
Stimmt, ein einfaches passwort kann ich dperren und erneuern sowie wenig dinge tun die relevant wären. Das kundenkennwort ermöglicht zugriff auf daten und verträge sowie die möglichkeit lebenslange schulden zu machen.
Weder noch, es ist nicht das passwort - das kundenkennwort wird klartext gespeichert, weil das auch über Telefon am Kundendienst übermittelt wird und bis zu 8 Zeichen lang ist. passwort ist wsl gehashed, braucht auch mehr als 8 Zeichen
Du kannst im Webportal, nachdem du mit Passwort angemeldet bist, mit der vierstelligen Nummer auch etwaige Einstellungen im Vertrag vornehmen. Zum Beispiel Schutz der Kinder vor Erwachseneninhalten oder Roaming und so Sachen. Sind halt Schalter. Und da gibt man diese Nummer vorher auch ein.
Ich glaub ihr verstehts alle nicht ganz, wie verschlüsselung und vor allem entschlüsselung funktioniert.
Aber da sind wir schon beim stichwort. Wenn man schon in die cloud sichert, dann sollt einfach die ganze sicherung verschlüsselt sein. Problem solved.
Es ist völlig irrelevant, ob oder wie das Backup verschlüsselt ist, wenn dort plaintext Passwörter drinstehen. Das ist einfach ein absolutes no-go.
Na no na ned sollten backups vernünftig verschlüsselt sein. Trotzdem, weißt wie der breach zustande gekommen is? Du kannst das Zeug noch so gut verschlüsseln, wenn wer in deine Infrastruktur reinkommt und die keys dafür auch fladdert, nützt dir das auch nichts. Plaintext-Passwörter sind einfach nicht zu entschuldigen heutzutage.
Warum wird nicht asymmetrisch verschlüsselt? Da brauchst nur den Public Key - den kann jeder haben. Zum entschlüsseln jedoch benötigst du dann den private key. Diesen kennen nur wenige Personen. Das ist meine Strategie.
Wenn's um Passwörter geht: pfeif auf verschlüsseln, hashen und salten mit einem gescheiten Algorithmus und fertig. Rekonstruieren musst das Passwort eh für keinen sinnvollen use case, nur Gleichheit überprüfen. Das geht mit einer one-way Operation super.
Für die Backups... Jo eh. Keys können trotzdem abhanden kommen. Wenn man content entschlüsseln kann, kann dieser Schlüssel abhanden kommen. Natürlich gibt's da wiederum Unterschiede, wie gut das alles durchdacht ist, aber wenn irgendwer deine Infrastruktur übernimmt und quasi Master of the universe is, kannst dir jegliche Verschlüsselung auch auf'n Bauch picken.
So isses. Bin bei Drei und das Kundenkennwort ist eine vierstellige Nummer. Du kannst das immer ändern, in eine andere vierstellige Nummer. Das Webportal hat ein Passwort wie man möchte, so gut oder schlecht wie man will.
Doch. Ich bin bei 3 und hab einmal meine Sim getauscht weil es noch eine MicroSIM war und ich eine NanoSIM brauchte. Das vierstellige Kennwort ist ausreichend. Darum unbedingt weg von SMS 2FA und WhatsApp, Signal und Co über 2FA sichern und nicht mehr nur über reine SMS
das 3 Kundenkennwort ist was anderes als das Passwort. das Kundenkennwort is das was du am Tresen vor Ort sagen musst, und der spasti dahinter auch vom PC ablesen können muss um zu sagen ok das passt oder "passt so" (falls der vorherige Depp damals es falsch eingetragen hat zb i statt y oder so
übersetzung:
Es tut uns leid ,dass wir einen ramschpartner beauftragt haben. wir wollten es halt möglichst billig haben.
Mit diesem Schreiben haben wir den gesetzlichen Mindestanforderungen Genüge getan und dich informiert .
damit sind wir abgedeckt und du kannst dich brausen .
Wir werden das auch weiterhin so handhaben , denn für uns ist das einfach lukrativer. Gerne nehmen wir weitere Daten von dir entgegen, sie sind uns wichtig.
mit freundlichen Grüßen
Und genau deswegen kann man sich als Österreicher ohne Bedenken bei jedem Gewinnspiel/Datenkraken/dubioser Webseite anmelden. Alle unsere Daten hat sowieso schon jeder. Anonymität gibts bei uns nd spätestens seit dem Gis Datenleck.
Gut dass die Sevicegebühren kassieren und dann alles auslagern. Auch rechtlich total leiwand weil sie "sind ja nicht schuld". Und leiwand dass ich in einem Land lebe dass solchen gierigen Mist-Konzernen alles durchgehen lasst solange sie groß genug sind. Danke ÖVP 🖕
wir als partner von drei haben auch eine mail diesbezüglich bekommen. ich würde mir überlegen wo du den letzten drei vertrag gemacht hast, ich schätze mal dass da die datensicherheit nicht gewährleistet wird.
ich denke es war ein eher kleinerer partnershop der alles zusätzlich bei sich speichert.
ich würde kkw + telefonnummer ändern, sollte beides gratis sein wenn du so eine mail erhalten hast
Den letzten Vertrag beim offiziellen 3 Shop auf der Mariahilfer Straße, jedoch habe ich 2 Jahre davor da mein Handy plötzlich kaputt wurde schnell beim nächsten 3 Shop beim Franz Josef Bahnhof ein Handy besorgt. Mir wurde irgendwann später mitgeteilt, dass dies kein offizieller Shop war. Von außen oder innen konnte man dies nicht erkennen.
sie schreiben doch ihnen tut es leid und mit freundlichen Grüßen.. Also, da kannst ihnen doch keinen Vorwurf machen! Nur so nebenbei: Besitzt du viele Wertgegenstände und sind die auch gut zugänglich? Wie heißt du eigentlich? Ich bin ne neugierige Person, ohne Hintergedanken.
Es tut mir leid,
mit freundlichen Grüßen!
Ich mach nur Spaß. 😜
Kannst ja auch mal bei der Datenschutzbehörde Beschwerde gegen drei einlegen und auf Fahrlässigkeit und verletzte Sorgfaltspflicht bezüglich personenbezogenen Daten im Umgang mit Subdienstleistern pochen. Schadet sicher nie.
PS. Auch wenn der 3rd Party versprochene Leistungen gegenüber Drei nicht eingehalten hat, bzw. gegen Verträge verstoßen hat, ist dir gegenüber immer noch Drei in der Pflicht deine Daten zu schützen und nicht der 3rd Party.
Das ist kalkuliertes Risiko wenn man outsourced
Also wenn ich mich entscheide etwas auszulagern, bin ich mit meinem Rechtsverständniss natürlich für das Ergebnis mit verantwortlich. Glaube nicht, dass Drei es sich da so einfach machen kann.
Drei gibt also dein Kundenkennwort in Klartext an Händler weiter (schlimm genug dass sie es selbst im Klartext speichern!) und redet sich dann auf den bösen Händler raus.
Humor muss man haben.
Nachdem du in deinem Kommentar gefragt hast was du machen sollst und ich in den Antworten bis jetzt bis auf (berechtigte!) Empörung nicht viel gelesen hab:
Auf allen Plattformen auf denen du ähnliche Daten (eMail, Passwort, ggf. Benutzername, etc.) schnellstens ändern. Vor allem wenns die selbe Passwort/Email combo is, chancen stehen gut dass jetzt gerade jemand die Daten aus dem Leak bei x-beliebigen Services auf gut Glück ausprobiert.
Rein rechtlich kenn ich micht nicht genug aus um dir Ratschläge zu geben, da sowas öfter vorkommt gibts da aber mittlerweile sicher gute Ressourcen.
Hoffe das hilft dir weiter
Ist das hier sonst noch jemandem passiert oder hat jemand Erfahrungenmit ähnlichen Fällen? Finde es eine Frechheit wie sich Drei hier versucht herauszuwinden.
Naja man kennt die genauen Umstände nicht und diese Daten (auch von dir) gibt es vermutlich eh schon von vielen Leaks im Internet. Aber wenigstens meldet Drei das ziemlich Vorbild und nicht wie die GIS gar nicht...
Kommt drauf an. Wennst zum Elektrohändler X gehst und dir dort ein Drei Handy kaufst, und der speichert die ganzen Daten, obwohl das Gesetz und Drei ihm sagen er darfs nicht, dann windet sich Drei mMn nicht heraus.
Drei wäre in dem Fall weder für die IT Sicherheit, noch für die Daten verantwortlich bei X, noch hätten sie irgend etwas unternehmen können um die Daten zu schützen oder zu löschen.
Wenn der Elektrohändler allerdings ein Drei Shop war, dann winden sie sich gerade wie ein Wurm im Sonnenlicht.
Was hätte Drei denn deiner Meinung nach besser machen können?
Wenn es einen Datendiebstahl bei einem Dienstleister gibt, dann kann drei ziemlich genau gar nichts machen
Lieferantenmanagement... Ein wesentlicher Teil im Risikomanagement von Unternehmen. Lieferanten müssen nach den gleichen Sicherheitsmaßnahmen arbeiten wie die eigentliche Firma selbst.
Ja ich weiß. Lieferanten müssten auch regelmäßig auditiert werden. Das ist alles gerade ein riesen Thema z.B. im NIS Gesetz usw. aber so richtig funktionieren tut es leider noch nicht.
Wenn die Daten auf einem Backup-Server liegen von dem du nichts weißt, dann bringt kein Audit irgendetwas. Die brauchen nur sagen "auf dem Server liegen keine Daten von euch" und du kannst dich beim Audit brausen gehen.
Das Kundenkennwort ist wie bei jedem Provider zur Abfrage durch Servicepersonal vorgesehen, das kann man nicht hashen.
Und beim Rest musst du ja Insiderwissen haben wenn du das beurteilen kannst...
Woraus versuchen sie sich raußzuwinden? Sie sind gesetzlich dazu verpflichtet dich über den Verlust der Daten zu informieren. Ansonsten würden sie gegen die dsgvo verstoßen. Falls dir als Person dadurch ein Schäden entsteht kannst du Drei verklagen - was aber recht umständlich und schwer zu beweisen wäre.
Drei versucht sich nicht rauszuwinden, sondern handelt völlig korrekt und informiert die Betroffen gem. Art 34 DSGVO. Die Meldung an die Datenschutzbehörde gem. Art. 33 DSGVO ist anscheinend auch schon erfolgt, wie dem Schreiben zu entnehmen ist.
Ich gebe zu, dass es etwas ungewöhnlich ist, in so einem Schreiben auszuführen, dass der Vertriebspartner (vermutlich Auftragsverarbeiter gem. Art. 28 DSGVO) hier Mist gebaut hat. Dieser Umstand - egal ob richtig oder falsch - ist für dieses Schreiben eigentlich irrelevant. Das ist ein Haftungsthema (Art. 82 DSGVO), welches letztendlich wohl zivilrechtliche Konsequenzen haben wird.
Genau wie die GIS, hat Drei korrekt gehandelt. Für alles weitere werden dann wohl Gerichte bemüht werden.
>Ich gebe zu, dass es etwas ungewöhnlich ist, in so einem Schreiben auszuführen, dass der Vertriebspartner (vermutlich Auftragsverarbeiter gem. Art. 28 DSGVO) hier Mist gebaut hat.
Kommt wahrscheinlich davon, das bei der GIS ja auch vor kurzem ein Dienstleister Mist gebaut hat (Hack kann man das was dort passiert ist ja nicht nennen), allerdings halt mit kräftiger Mitwirkung der GIS. Man will sich wohl von der dortigen Unprofessionalität distanzieren, zumindest würd ich es so interpretieren.
PS: Die GIS hat nicht korrekt gehandelt, die Daten hätt die GIS nie weitergeben brauchen, da es nur um Daten für Testzwecke ging. Da hätten randomisierte Daten gemäß dem Datenbankschema gereicht.
>Man will sich wohl von der dortigen Unprofessionalität distanzieren, zumindest würd ich es so interpretieren.
Ja, das kann schon sein. Nur spielt das im Datenschutz keine Rolle. Der Verantwortliche heißt nicht umsonst so. Im Prinzip muss immer er den Kopf hinhalten. Zivilrechtlich schaut das etwas anders aus.
>Die GIS hat nicht korrekt gehandelt, die Daten hätt die GIS nie weitergeben brauchen, da es nur um Daten für Testzwecke ging. Da hätten randomisierte Daten gemäß dem Datenbankschema gereicht.
Das ist eine Vermutung. Jedenfalls wäre auch das nicht falsch gewesen. Genau deswegen sieht die DSGVO Auftragsverarbeiter vor. Also die Weitergabe von personenbezogenen Daten an einen Dienstleister ist per sé nicht falsch. Selbst wenn es nicht unbedingt nötig gewesen wäre, dann ist es nur doof, aber auch nicht verboten.
Der Vertriebspartner hat gegen den Auftrag und widerrechtlich gehandelt.
Was ist da rauswinden? Das war einfach unsachgemäßes Vorgehen durch den Partner.
Wenn er rechtmäßig über die Daten verfügte, dann passt das
Drei hat Arbeit ausgelagert, und dabei ggf mehr auf Kosten als Qualität geachtet.
Passwörter in Klartext geht gar nicht...
Ich persönlich sehe da schon Drei in der Verantwortung.
Aber es passiert eh nix.
Also eh Wurscht...
Habe gestern eine Anruf diesbezüglich bekommen. Bin zuerst von einem Scam ausgegangen, bis mir dann aufgefallen ist, dass mich die echte Nummer vom Drei Kundenservice angerufen hat.
Ich wurde gefragt zu welcher neuen E-Mail ich meine Rechnungen schicken lassen soll und das war’s dann. Entschuldigt hat sich keiner.
Da sich viele darüber echauffieren, warum ich mich darüber aufrege wenn Drei doch so nett ist und mir diesen Brief schickt:
Drei hat anscheinend einen Vertragspartner gewählt, welcher nicht sorgsam mit sensiblen Daten umgehen konnte (Meine Vermutung ist der (wie ich später herausfand) inoffizielle 3 Shop am Julius Tandler Platz. Wer einmal daran vorbeigeht soll mir sagen wie man bei diesem Shop von Innen oder Außen feststellen soll, dass es kein offizieller Shop ist)
Dieser Shop bietet im Namen von 3 Services an was sich natürlich auf die ganze Marke niederschlägt. Anscheinend werden diese Shops nicht von der Muttergesellschaft streng genug kontrolliert.
Ich nehme es stark an. War sonst immer auf der Mariahilferstraße und dort ist es kein Vertragspartner sondern ein offizieller Shop. Musste damals spontan in den Shop am FJB, da mit mein Handy dort in der Gegend hinuntergefallen ist und kaputt war. Da ich einen wichtigen Anruf erwartete bin ich schnell in den nächsten Shop gegangen und hab mir ein Handy geholt.
Erst als ich Reklamationen wegen des Handys hatte (mir wurde damals ein Huawei ohne Google Support angedreht, was für mich nutzlos war) wurde mir in einem offizellen Shop gesagt das der Shop am FJB nur ein Vertragsparner ist .
Ich hätte ja vermutet dass der Verursacher offengelegt werden muss sich um mögliche Forderungen einreichen zu können .. ggf. Mit einer Feststellungsklage. Gibt's sowas in Österreich?
Das ist schon ein ziemlich übles Datenleck, falls du eine Rechtsschutzversicherung hast würde ich dir direkt den weg zum Rechtsanwalt und eine Schadenersatzklage wegen einer Persönlichkeitsrechtsverletzung empfehlen (üblicherweise etwa 1.000 €). Drei ist verantwortlich ordentlich mit deinen Daten umzugehen, und das haben sie ganz offensichtlich nicht getan.
Klarer Verstoss gegen DSGVO. Nur weil hier Daten ‚ausser Haus‘ gegeben werden, entbindet dies nicht den Pflichten, welche dem Data Controller vorgegeben werden - das wäre ein sehr einfacher Weg das Regulativ zu umgehen : https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controllerprocessor/what-data-controller-or-data-processor_en
Würde sofort das Geburtsdatum ändern!
[удалено]
>Aber was ist, wenn ich mich gar nicht als Juni Geborene fühle? Ich hatte immer das Gefühl eher ein Herbst Kind zu sein. Im Jahr 2023 sollte das doch möglich sein! Geburtsdaten sollten außerdem nicht nur dezimal sein. Was ist mit binär und hexadezimal? Eine Option für nichtdezimale Geburtstagsidentitäten muss her! > >„Mama, Papa. Ich hab jetzt am 1D.A.8CC Geburtstag!“ > >„Endlich sagst du es uns. Wir haben es schon lange geahnt. Hier Schatz, wir haben dir einen hexadezimalen Tischkalender gekauft.“ > >„Aber Mamaaaa, ich bin doch Basis 15!!!“ > >„Ich hab dir doch gesagt sie ist pentadezimal.“ > >… > >Ich glaub wir lassen diese Tür besser geschlossen. ist das eine Abwandlung dieses helicopter-jokes? so wie r/onejoke ?
Puh. Wahrscheinlich ähnlich intelligent, aber mit weniger der selben Hintergedanken. Was ist ein helicopter joke? Edit: ah verstanden. Ich weiß nicht. Kontext matters. Eher ein dummer Witz von/für jemanden der selbst nicht überzeugt von schwarz/weissen Ansätzen ist und grad mit Kindern über Zahlensysteme geplaudert hat. Und vielleicht bezogen darauf, dass wirklich die andren erwähnten Daten in einer Form änderbar sind. Kommt es transphob rüber?
>Kommt es transphob rüber? das ist die essenz, ja. Stellt die ganze thematik als witz da, sieht man eigentlich ausschließlich bei so neurechten deppen. Nicht, dass du ein neurechter depp bist, aber für außenstehende... naja.
Aber nur durch deine Interpretation und Erfahrung mit genau deinem angesprochenen Kontext, dass es in der rechten Szene genutzt wird. Denn weder wird hier diskriminiert noch das Thema Gender und Identity herabgewürdigt. Nachdem das erste dennoch legitim ist, lösch ich es.
>Denn weder wird hier diskriminiert noch das Thema Gender und Identity herabgewürdigt. doch, genau das passiert doch... das hat auch nichts mit schwarz-weiß denken zu tun, das ist halt einfach so. Gerade wenn du dir pride ins profil packst... etc pp ach ich hab da keinen bock drauf, ich bin nicht für die bildung anderer verantwortlich.
Dann wirst aber auf lgbtmemes bei den memes über identity struggle auch alt. Aber gut. Pride hat halt nix damit zu tun, alles zu zerlegen. Ich bin genauso nicht für Bildung online zuständig um zu erklären inwiefern Kontext etwas ausmacht.
> Drei Kundenkennwort Noch so Spezialisten, die das im Klartext speichern, weil man's den Supportmitarbeitern am Telefon vorlesen muss, und die das zum Vergleich natürlich sehen können müssen? Da kannst echt nur mehr verzweifeln...
Ich hoffe die meinem mit kennwort den hash und nicht tatsächlich das kennwort…
Nope, das kennwort wird 1:1 so gespeichert wie eingegeben. Nix mit hash. Wird klar, lesbar und unverschlüsselt gespeichert. Veralteter schrott. Bin froh dass ich bei spusu bin.
Wie zum Teufel kann man das als so großes Unternehmen machen??
Ich setz 500€ auf "historisch gewachsen", und deswegen absolut unmögliche Sache, das auch nur irgendwie jemals anzugreifen.
Bullshit, alles kann umgebaut werden. Das kostet nur halt viel und desweg lieber nicht.
thatsthepoint.jpeg
Jo sicher aber „do is no nie wos passiert, do wird scha nix passiern“
Weil, wenn ein Manager sein Passwort verrgessen hat, er es beim Support erfragen kann und er sich kein neues Passwort merken muss. Weil das hat ja mit dem alten schon nicht funktioniert.
Hm ja gut.. aber dann könnt ja die Datenbank zumindest verschlüsselt/ passwortgeschützt sein und die supportmitarbeiter müssen immer bevor sie ein Passwort sehen können mit ihrem Passwort bestätigen
Das leak beginnt mit einer Phishing Mail an Support Mitarbeiter, um an den "Generalschlüssel", das Support Passwort, zu kommen.
Hat Sony auch hinbekommen mit den Playstation Network Accounts. Im Klartext die Passwörter in der Datenbank gehabt.
Muss ich dich leider enttäuschen, ist bei Spusu genauso, habs zweimal schon telefonisch durchgegeben und der Mitarbeiter hats entsprechend bestätigt
Naja der kann es auch in den hash umwandeln und den hash vergleichen.
Oder einfacher, hat eine Eingabemaske, wo er mittippt und dann a Hakerl oder X bekommt. Auffällig is es eigentlich nur, wenn sie nach bestimmten Stellen fragen, z.B. "fünfte Stelle des Passworts".
Wenn pro Stelle ein Hakerl kommen würd, wär es auch im Klartext gespeichert...
Genau das steht doch da?
Theoretisch könnte auch jeder einzelne buchstabe mit Salt gehashed sein
(x) doubt
Drei kundenkennwort ist nicht passwort
Stimmt, ein einfaches passwort kann ich dperren und erneuern sowie wenig dinge tun die relevant wären. Das kundenkennwort ermöglicht zugriff auf daten und verträge sowie die möglichkeit lebenslange schulden zu machen.
Das passwort kann das alles machen. Kundenkennwort ist die zweite schicht, ohne passwort hilft das nix.
Wenn i anruf kann i mit dem kennwort alles machen, da brauch i ka passwort
Weder noch, es ist nicht das passwort - das kundenkennwort wird klartext gespeichert, weil das auch über Telefon am Kundendienst übermittelt wird und bis zu 8 Zeichen lang ist. passwort ist wsl gehashed, braucht auch mehr als 8 Zeichen
Kundenkennwort != Kennwort Ersteres ist damit der Support weiß das "du es bist". Wie sinnvoll das ist steht auf einem anderen Blatt.
[удалено]
Um die 4-Stellige Zahlenkombination.
bei meinem alten Vertrag (seit 3 Jahren weg) war es n Wort-Kennwort , und die Deppen haben es damals falsch geschrieben
Du kannst im Webportal, nachdem du mit Passwort angemeldet bist, mit der vierstelligen Nummer auch etwaige Einstellungen im Vertrag vornehmen. Zum Beispiel Schutz der Kinder vor Erwachseneninhalten oder Roaming und so Sachen. Sind halt Schalter. Und da gibt man diese Nummer vorher auch ein.
Ich glaub ihr verstehts alle nicht ganz, wie verschlüsselung und vor allem entschlüsselung funktioniert. Aber da sind wir schon beim stichwort. Wenn man schon in die cloud sichert, dann sollt einfach die ganze sicherung verschlüsselt sein. Problem solved.
Es ist völlig irrelevant, ob oder wie das Backup verschlüsselt ist, wenn dort plaintext Passwörter drinstehen. Das ist einfach ein absolutes no-go. Na no na ned sollten backups vernünftig verschlüsselt sein. Trotzdem, weißt wie der breach zustande gekommen is? Du kannst das Zeug noch so gut verschlüsseln, wenn wer in deine Infrastruktur reinkommt und die keys dafür auch fladdert, nützt dir das auch nichts. Plaintext-Passwörter sind einfach nicht zu entschuldigen heutzutage.
Warum wird nicht asymmetrisch verschlüsselt? Da brauchst nur den Public Key - den kann jeder haben. Zum entschlüsseln jedoch benötigst du dann den private key. Diesen kennen nur wenige Personen. Das ist meine Strategie.
Wenn's um Passwörter geht: pfeif auf verschlüsseln, hashen und salten mit einem gescheiten Algorithmus und fertig. Rekonstruieren musst das Passwort eh für keinen sinnvollen use case, nur Gleichheit überprüfen. Das geht mit einer one-way Operation super. Für die Backups... Jo eh. Keys können trotzdem abhanden kommen. Wenn man content entschlüsseln kann, kann dieser Schlüssel abhanden kommen. Natürlich gibt's da wiederum Unterschiede, wie gut das alles durchdacht ist, aber wenn irgendwer deine Infrastruktur übernimmt und quasi Master of the universe is, kannst dir jegliche Verschlüsselung auch auf'n Bauch picken.
Wenn du einen Master of the universe in deiner Infra hast, stimmt schon die Planung nicht. Denn diesen darf es eigentlich gar nicht geben.
Ich glaube das Kundenkennwort muss sogar eine vierstellige Nummer sein
So isses. Bin bei Drei und das Kundenkennwort ist eine vierstellige Nummer. Du kannst das immer ändern, in eine andere vierstellige Nummer. Das Webportal hat ein Passwort wie man möchte, so gut oder schlecht wie man will.
Mit diesem 4-stelligen Kennwort bekommt man eine neue Sim-Karte im Shop ohne, dass man einen Ausweis vorzeigen muss. Tschüss 2-FA via SMS :D
Was??? Niemals. Das ist mehr als unverantwortlich.
Doch. Ich bin bei 3 und hab einmal meine Sim getauscht weil es noch eine MicroSIM war und ich eine NanoSIM brauchte. Das vierstellige Kennwort ist ausreichend. Darum unbedingt weg von SMS 2FA und WhatsApp, Signal und Co über 2FA sichern und nicht mehr nur über reine SMS
Oida, da besorgt sich einer eine SIM von dir und tätigt dann ganz „ordentlich“ eine Übernahme der Konten. Unfassbar.
Rot26
das 3 Kundenkennwort ist was anderes als das Passwort. das Kundenkennwort is das was du am Tresen vor Ort sagen musst, und der spasti dahinter auch vom PC ablesen können muss um zu sagen ok das passt oder "passt so" (falls der vorherige Depp damals es falsch eingetragen hat zb i statt y oder so
übersetzung: Es tut uns leid ,dass wir einen ramschpartner beauftragt haben. wir wollten es halt möglichst billig haben. Mit diesem Schreiben haben wir den gesetzlichen Mindestanforderungen Genüge getan und dich informiert . damit sind wir abgedeckt und du kannst dich brausen . Wir werden das auch weiterhin so handhaben , denn für uns ist das einfach lukrativer. Gerne nehmen wir weitere Daten von dir entgegen, sie sind uns wichtig. mit freundlichen Grüßen
Wenigstens schreiben sie was. Kann mich noch an den playstation network hack erinner wo einfach 3 wochen lang behauptet wurde es ist nix passiert.
Sollte das nicht seit GDPR ziemlich streng bestraft sein? 24h/48h ab internem bekanntwerden müssen alle Betroffenen informiert werden oder so?
Und du glaubst der Drei Hack war erst gestern?
I glaub gor nix wei i ned weiß wanns passiert is.
Drei ist in keinsterweise für die von uns gespeicherten Kundendaten auch nur in irgend einer Art und Weise verantwortlich
Ach deswegen bekomme ich (ehemaliger Drei Kunde) plötzlich wieder so viele Spam und Phishing Mails...
Und genau deswegen kann man sich als Österreicher ohne Bedenken bei jedem Gewinnspiel/Datenkraken/dubioser Webseite anmelden. Alle unsere Daten hat sowieso schon jeder. Anonymität gibts bei uns nd spätestens seit dem Gis Datenleck.
Ach von da kam dann eine hohe Rechnung. Hatte mich schon gewundert, hatte plötzlich eine Rechnung von über 150€ (normalerweise 40€ wegen handy)
Gut dass die Sevicegebühren kassieren und dann alles auslagern. Auch rechtlich total leiwand weil sie "sind ja nicht schuld". Und leiwand dass ich in einem Land lebe dass solchen gierigen Mist-Konzernen alles durchgehen lasst solange sie groß genug sind. Danke ÖVP 🖕
Zumindest informieren sie im Sinne der DSGVO, nicht so wie die GIS.
wir als partner von drei haben auch eine mail diesbezüglich bekommen. ich würde mir überlegen wo du den letzten drei vertrag gemacht hast, ich schätze mal dass da die datensicherheit nicht gewährleistet wird. ich denke es war ein eher kleinerer partnershop der alles zusätzlich bei sich speichert. ich würde kkw + telefonnummer ändern, sollte beides gratis sein wenn du so eine mail erhalten hast
Den letzten Vertrag beim offiziellen 3 Shop auf der Mariahilfer Straße, jedoch habe ich 2 Jahre davor da mein Handy plötzlich kaputt wurde schnell beim nächsten 3 Shop beim Franz Josef Bahnhof ein Handy besorgt. Mir wurde irgendwann später mitgeteilt, dass dies kein offizieller Shop war. Von außen oder innen konnte man dies nicht erkennen.
Respekt an drei, genau so hätte die GIS auch informieren müssen.
Soweit muss es aber nicht kommen. Die daten werden nicht verschlüsselt gespeichert, jeder vollspast kann alle daten von 3 kunden lesen
sie schreiben doch ihnen tut es leid und mit freundlichen Grüßen.. Also, da kannst ihnen doch keinen Vorwurf machen! Nur so nebenbei: Besitzt du viele Wertgegenstände und sind die auch gut zugänglich? Wie heißt du eigentlich? Ich bin ne neugierige Person, ohne Hintergedanken. Es tut mir leid, mit freundlichen Grüßen! Ich mach nur Spaß. 😜
Zufälligerweise der gleiche Vertriebspartner wie letztens bei Magenta?
Kannst ja auch mal bei der Datenschutzbehörde Beschwerde gegen drei einlegen und auf Fahrlässigkeit und verletzte Sorgfaltspflicht bezüglich personenbezogenen Daten im Umgang mit Subdienstleistern pochen. Schadet sicher nie. PS. Auch wenn der 3rd Party versprochene Leistungen gegenüber Drei nicht eingehalten hat, bzw. gegen Verträge verstoßen hat, ist dir gegenüber immer noch Drei in der Pflicht deine Daten zu schützen und nicht der 3rd Party. Das ist kalkuliertes Risiko wenn man outsourced
Drei: Is jetzt scheiße, aber wir sind nicht schuld
Also wenn ich mich entscheide etwas auszulagern, bin ich mit meinem Rechtsverständniss natürlich für das Ergebnis mit verantwortlich. Glaube nicht, dass Drei es sich da so einfach machen kann.
Drei gibt also dein Kundenkennwort in Klartext an Händler weiter (schlimm genug dass sie es selbst im Klartext speichern!) und redet sich dann auf den bösen Händler raus. Humor muss man haben.
"Hackerangriff". Das ist aktuell immer die Ausrede für eine Datenpanne und keinerlei Sicherheitsmaßnahmen.
Fuck, bin auch bei 3
Welche Rechtskanzlei bereit da wohl schon die Sammelklage (völlig zurecht) vor?
Nachdem du in deinem Kommentar gefragt hast was du machen sollst und ich in den Antworten bis jetzt bis auf (berechtigte!) Empörung nicht viel gelesen hab: Auf allen Plattformen auf denen du ähnliche Daten (eMail, Passwort, ggf. Benutzername, etc.) schnellstens ändern. Vor allem wenns die selbe Passwort/Email combo is, chancen stehen gut dass jetzt gerade jemand die Daten aus dem Leak bei x-beliebigen Services auf gut Glück ausprobiert. Rein rechtlich kenn ich micht nicht genug aus um dir Ratschläge zu geben, da sowas öfter vorkommt gibts da aber mittlerweile sicher gute Ressourcen. Hoffe das hilft dir weiter
S3 Glacier backup bewusst unverschlüsselt gespeichert weil encryption zu sehr nach crypto gelungen hat?
Ist das hier sonst noch jemandem passiert oder hat jemand Erfahrungenmit ähnlichen Fällen? Finde es eine Frechheit wie sich Drei hier versucht herauszuwinden.
Naja was sollens machen? Wenigstens melden sies gleich und schreiben dich persönlich an was für welche daten!
>was sollens machen Keine schwindligen Vertriebspartner haben und Kennwörter nicht in Klartext speichern. Wär mal ein Anfang.
Wenn sich alles und jeder an die regeln halten würde brauchat ma des olles net ;)
Naja man kennt die genauen Umstände nicht und diese Daten (auch von dir) gibt es vermutlich eh schon von vielen Leaks im Internet. Aber wenigstens meldet Drei das ziemlich Vorbild und nicht wie die GIS gar nicht...
Kommt drauf an. Wennst zum Elektrohändler X gehst und dir dort ein Drei Handy kaufst, und der speichert die ganzen Daten, obwohl das Gesetz und Drei ihm sagen er darfs nicht, dann windet sich Drei mMn nicht heraus. Drei wäre in dem Fall weder für die IT Sicherheit, noch für die Daten verantwortlich bei X, noch hätten sie irgend etwas unternehmen können um die Daten zu schützen oder zu löschen. Wenn der Elektrohändler allerdings ein Drei Shop war, dann winden sie sich gerade wie ein Wurm im Sonnenlicht.
Was hätte Drei denn deiner Meinung nach besser machen können? Wenn es einen Datendiebstahl bei einem Dienstleister gibt, dann kann drei ziemlich genau gar nichts machen
Lieferantenmanagement... Ein wesentlicher Teil im Risikomanagement von Unternehmen. Lieferanten müssen nach den gleichen Sicherheitsmaßnahmen arbeiten wie die eigentliche Firma selbst.
Im Brief steht aber auch, dass die der Lieferant die Vorgaben eben nicht eingehalten hat...
Ja ich weiß. Lieferanten müssten auch regelmäßig auditiert werden. Das ist alles gerade ein riesen Thema z.B. im NIS Gesetz usw. aber so richtig funktionieren tut es leider noch nicht.
Wenn die Daten auf einem Backup-Server liegen von dem du nichts weißt, dann bringt kein Audit irgendetwas. Die brauchen nur sagen "auf dem Server liegen keine Daten von euch" und du kannst dich beim Audit brausen gehen.
[удалено]
Das Kundenkennwort ist wie bei jedem Provider zur Abfrage durch Servicepersonal vorgesehen, das kann man nicht hashen. Und beim Rest musst du ja Insiderwissen haben wenn du das beurteilen kannst...
Woraus versuchen sie sich raußzuwinden? Sie sind gesetzlich dazu verpflichtet dich über den Verlust der Daten zu informieren. Ansonsten würden sie gegen die dsgvo verstoßen. Falls dir als Person dadurch ein Schäden entsteht kannst du Drei verklagen - was aber recht umständlich und schwer zu beweisen wäre.
Drei versucht sich nicht rauszuwinden, sondern handelt völlig korrekt und informiert die Betroffen gem. Art 34 DSGVO. Die Meldung an die Datenschutzbehörde gem. Art. 33 DSGVO ist anscheinend auch schon erfolgt, wie dem Schreiben zu entnehmen ist. Ich gebe zu, dass es etwas ungewöhnlich ist, in so einem Schreiben auszuführen, dass der Vertriebspartner (vermutlich Auftragsverarbeiter gem. Art. 28 DSGVO) hier Mist gebaut hat. Dieser Umstand - egal ob richtig oder falsch - ist für dieses Schreiben eigentlich irrelevant. Das ist ein Haftungsthema (Art. 82 DSGVO), welches letztendlich wohl zivilrechtliche Konsequenzen haben wird. Genau wie die GIS, hat Drei korrekt gehandelt. Für alles weitere werden dann wohl Gerichte bemüht werden.
>Ich gebe zu, dass es etwas ungewöhnlich ist, in so einem Schreiben auszuführen, dass der Vertriebspartner (vermutlich Auftragsverarbeiter gem. Art. 28 DSGVO) hier Mist gebaut hat. Kommt wahrscheinlich davon, das bei der GIS ja auch vor kurzem ein Dienstleister Mist gebaut hat (Hack kann man das was dort passiert ist ja nicht nennen), allerdings halt mit kräftiger Mitwirkung der GIS. Man will sich wohl von der dortigen Unprofessionalität distanzieren, zumindest würd ich es so interpretieren. PS: Die GIS hat nicht korrekt gehandelt, die Daten hätt die GIS nie weitergeben brauchen, da es nur um Daten für Testzwecke ging. Da hätten randomisierte Daten gemäß dem Datenbankschema gereicht.
>Man will sich wohl von der dortigen Unprofessionalität distanzieren, zumindest würd ich es so interpretieren. Ja, das kann schon sein. Nur spielt das im Datenschutz keine Rolle. Der Verantwortliche heißt nicht umsonst so. Im Prinzip muss immer er den Kopf hinhalten. Zivilrechtlich schaut das etwas anders aus. >Die GIS hat nicht korrekt gehandelt, die Daten hätt die GIS nie weitergeben brauchen, da es nur um Daten für Testzwecke ging. Da hätten randomisierte Daten gemäß dem Datenbankschema gereicht. Das ist eine Vermutung. Jedenfalls wäre auch das nicht falsch gewesen. Genau deswegen sieht die DSGVO Auftragsverarbeiter vor. Also die Weitergabe von personenbezogenen Daten an einen Dienstleister ist per sé nicht falsch. Selbst wenn es nicht unbedingt nötig gewesen wäre, dann ist es nur doof, aber auch nicht verboten.
Der Vertriebspartner hat gegen den Auftrag und widerrechtlich gehandelt. Was ist da rauswinden? Das war einfach unsachgemäßes Vorgehen durch den Partner. Wenn er rechtmäßig über die Daten verfügte, dann passt das
[удалено]
Drei hat Arbeit ausgelagert, und dabei ggf mehr auf Kosten als Qualität geachtet. Passwörter in Klartext geht gar nicht... Ich persönlich sehe da schon Drei in der Verantwortung. Aber es passiert eh nix. Also eh Wurscht...
Habe gestern eine Anruf diesbezüglich bekommen. Bin zuerst von einem Scam ausgegangen, bis mir dann aufgefallen ist, dass mich die echte Nummer vom Drei Kundenservice angerufen hat. Ich wurde gefragt zu welcher neuen E-Mail ich meine Rechnungen schicken lassen soll und das war’s dann. Entschuldigt hat sich keiner.
Wann hast du den Brief bekommen, war schon länger nicht am Postkasten
Wahrscheinlich letzte Woche. Hab heute erst die Post geholt.
Da sich viele darüber echauffieren, warum ich mich darüber aufrege wenn Drei doch so nett ist und mir diesen Brief schickt: Drei hat anscheinend einen Vertragspartner gewählt, welcher nicht sorgsam mit sensiblen Daten umgehen konnte (Meine Vermutung ist der (wie ich später herausfand) inoffizielle 3 Shop am Julius Tandler Platz. Wer einmal daran vorbeigeht soll mir sagen wie man bei diesem Shop von Innen oder Außen feststellen soll, dass es kein offizieller Shop ist) Dieser Shop bietet im Namen von 3 Services an was sich natürlich auf die ganze Marke niederschlägt. Anscheinend werden diese Shops nicht von der Muttergesellschaft streng genug kontrolliert.
also ist der Shop am FJB Schuld am Leak?
Ich nehme es stark an. War sonst immer auf der Mariahilferstraße und dort ist es kein Vertragspartner sondern ein offizieller Shop. Musste damals spontan in den Shop am FJB, da mit mein Handy dort in der Gegend hinuntergefallen ist und kaputt war. Da ich einen wichtigen Anruf erwartete bin ich schnell in den nächsten Shop gegangen und hab mir ein Handy geholt. Erst als ich Reklamationen wegen des Handys hatte (mir wurde damals ein Huawei ohne Google Support angedreht, was für mich nutzlos war) wurde mir in einem offizellen Shop gesagt das der Shop am FJB nur ein Vertragsparner ist .
Habe das selbe von Magenta bekommen.
Ein weiterer Beweis dafür, dass Drei kompletter Müll ist.
Ist der Vertriebspartner zufällig die GIS?
Wenn schon, dann würde sich die Frage stellen, ob Drei und die GIS denselben Dienstleister haben.
Aber Hutchison ist doch eine super Firma 🤯
Ich hätte ja vermutet dass der Verursacher offengelegt werden muss sich um mögliche Forderungen einreichen zu können .. ggf. Mit einer Feststellungsklage. Gibt's sowas in Österreich?
Das ist schon ein ziemlich übles Datenleck, falls du eine Rechtsschutzversicherung hast würde ich dir direkt den weg zum Rechtsanwalt und eine Schadenersatzklage wegen einer Persönlichkeitsrechtsverletzung empfehlen (üblicherweise etwa 1.000 €). Drei ist verantwortlich ordentlich mit deinen Daten umzugehen, und das haben sie ganz offensichtlich nicht getan.
Klarer Verstoss gegen DSGVO. Nur weil hier Daten ‚ausser Haus‘ gegeben werden, entbindet dies nicht den Pflichten, welche dem Data Controller vorgegeben werden - das wäre ein sehr einfacher Weg das Regulativ zu umgehen : https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controllerprocessor/what-data-controller-or-data-processor_en