Wie (un)sicher ist Egun?

[MAD72]

Mich hatts auch erwischt.

Hatte mich schon gewundert, dass die Rechnung so fix kam, dauerte sonst immer ne Weile nachdem die Auktion gelaufen war.

Da die kompletten Details der einzelnen Auktionen enthalten waren, kann ich mir nicht vorstellen, dass das jemand "manuell" ausbaldowert hat, wie ein Vorschreiber vermutete. Ich kenne mich mit der Materie nicht aus, aber würde auch eher vermuten, dass da der Täter den kompletten Mailverkehr abfangen konnte und für seine Zwecke missbraucht hat.

Habe Egun aufgefordert mir mehr Informationen zukommen zu lassen, wo sitzt das Sicherheitsproblem, bin ich der Gehackte oder Egun, welche Maßnahmen werden von dort eingeleitet, Polizei eingeschaltet etc...

Es kam nur die Antwort, nicht auf das eine Konto zu überweisen und dass die Polizei die Ermittlungen übernommen hätte...

Schwach!!! Es wird im alten Trott weitergehen fürchte ich.

[7-ender]

@MarlboroMan: Noch nie gesehen, dass es beim Login die Option "Sicherer Zugang" gibt?

Zum Thema: Bei eGun wurden alle Rechnungsmails nach dem Versand durch eGun ausgelesen, vermutlich mit Hilfe eines Makros geändert (Bankverbindung) und über den originalen Absender (rechnung@egun.de) noch einmal versendet. Die geänderte Bankverbindung ist übrigens eine deutsche (Commerzbank statt Hessischer Landesbank => siehe BIC). Das lässt nur den Schluss zu, dass jemand Zugriff auf eGun direkt, nicht auf einzelne User hatte.

Es ist ja kein Geheimnis, dass eGun massive Softwareprobleme hat. Ich kann zig verschiedene Beispiele allein für den Bietprozess belegen, wo bei gleichem Gebot z.B. nicht der Erstbietende zum Zug kam und vom Webmaster lapidar erklärt wurde, es sei alles in Ordnung. Oder der Webmaster einfach mal von Hand die Gebote geändert hat, um es "echt" aussehen zu lassen. Oder wo das System (Bietagent) mehr geboten hat als das Höchstgebot. Oder eine Bestbieter-Mail kam und einen Tag später der Webmaster das händisch zurückgenommen hat (in dem Zusammenhang auf die Frage, was mit dem bereits bezahlten Geld sei: "Das solle der Verkäufer zurücküberweisen, eGun sei für übereilte Zahlungen nicht verantwortlich...") Undundund...

Das eGun der Platzhirsch ist sollte kein Grund sein, denen nicht mal die rote Karte zu zeigen! Ich zumindest werde mir mit dem Geschäfts- und dem Privataccount jedenfalls ein neues "zu Hause" suchen. Da wäre ja z.B. auch noch guns-and-more oder Waffenlupe. Warum sollte eGun etwas ändern, wenn die User nichts ändern?

Tante Edit: Die zweite Mail (Nachtrag) von eGun war natürlich ein Witz. Die Stornierung einer selbst getätigten Überweisung ist nur möglich, wenn der Auftrag noch nicht weitergeleitet wurde (in der Regel nur wenige Minuten nach der Überweisung). Und: Die meisten Banken nehmen für diese Dienstleistung eine happige Gebühr. Zahlt das eGun? Auch bin ich gespannt, ob eGun Mahnungen verschickt, wenn nicht oder falsch überwiesen wurde, oder (wie auch nicht unüblich selbst bei Beträgen unter 5€) später ein Inkassobüro eingeschaltet wird...

Bearbeitet 17. Oktober 2014 von 7-ender

[sas26]

Klickt mal unten auf Impressum oder Kontakt :

Die Webseite wurde nicht gefunden

alles sehr sehr komisch......

[Gunsmoke Joe]

Woher hat der Betrugsversucher meine Emailadresse?

Woher weiss er genau, was ich von Egun in Rechnung gestellt bekommen habe?

Vielleicht verfolgt er deine Käufe/Verkäufe? Deine email-adresse könnte er auch von einem früheren Kontakt/Anfrage haben.

Gruß

Gunsmoker

Bearbeitet 19. Oktober 2014 von Gunsmoke Joe

[Beretta 12/70]

Stimmt. Anmelden geht. Auch mit HTTPS.

Aber Impressum und Kontakt geht gar nicht bei mir.

[punisher1985]

Vielleicht hat eGun die Funktion einfach abgeschaltet da zu viele Anfragen/Mails kamen mit solchen Vorfällen Waren ja allein hier schon einige Betroffene

[7-ender]

Unter HILFE sind Impressung und Kontaktlinks aber noch abrufbar.

Wir wissen nicht, wie die Software arbeitet. Vll. hat eGun erst mal alle Funktionen herausgenommen/abgeschaltet, die ein potentielles Sicherheitsrisiko dastellen könnten...

[Bulldog]

...macht euch mal wegen den Gesetzeshütern keine Hoffnung.

Die Füße der sich dort in großer Zahl tummelnden Gesetzeshüter sind ebenfalls voll mit Spuren vom Leim auf den sie gegangen sind.

[knight]

IT-Sicherheit ist der Alptraum in Reindosis.

Darauf kommt man aber nur, wenn man sich damit beschäftigt. Fürs Management ist IT-Sicherheit in der Regel nur ein Zeitfaktor und ein Kostenfaktor und damit lästig und nicht auf dem Radar. Für die Benutzer ist es ein Lästigkeitsfaktor und daher oft nicht gewollt. Und für (viele) die es in den Unternehmen auf der Basis von gefährlichem Halbwissen durchsetzen ist es der "ich bin hier der King"-Faktor und damit an der Realität vorbei implementiert und zusätzlich dann auch noch von den Nutzern nicht akzeptiert. Und für so manchen ist es auch ein Arbeit-vom-Hals-halten-Argument "das geht aus Sicherheitsgründen nicht."

Die Newsseiten sind voll von Meldungen, wo irgendwelche Hacker irgendwelche Kundendatenbanken gehakt und die persönlichen Daten abgegriffen haben. Als Kunde kann man sich dagegen noch nicht mal schützen. Man kann sich so aufstellen, dass der Schaden im Falle eines Falles möglichst gering ist.

Wenn egun schreibt, dass die Polizei eingeschaltet ist, kann man sich denken, dass nicht alles mit rechten Dingen zugegangen ist. Man kann dann überlegen, wo könnte mir (noch an anderen Stellen) Schaden entstehen und versuchen den von vorneherein zu begrenzen.

Und was die Bilanzen angeht: Es gab mal eine Zeit, da wurde WO (zu Recht oder zu Unrecht will ich mal hier nicht diskutieren) vorgeworfen sich zu kommerzialisieren. Wenn man sich die Bilanzen ansieht, dann hätte WO sich mal besser kommerzialisiert, denn dann bräuchten wir uns über eine Waffenlobby in Deutschland keine Fantasien mehr zu machen.

bye knight

[Bulldog]

...dann hätte WO sich mal besser kommerzialisiert, denn dann bräuchten wir uns über eine Waffenlobby in Deutschland keine Fantasien mehr zu machen.

bye knight

...mach dir da mal keine falschen Hoffnungen. Geldflüsse folgen keinen physikalischen Gesetzen.

[chr]

So nun bekomme ich jede Menge Spam auf die bei egun hinterlegte E-Mail-Adresse.... Was soll ich da jetzt draus folgern, ausser dass die komplette Kundendatenbank gehakt wurde.

[7-ender]

Wird die Mailadresse nur für eGun verwendet oder könnten die Spams woanders herkommen? Ist es ausgeschlossen, dass die absendende Adresse ein früherer eGun-Kontakt ist?

Mir sind drei bei eGun hinterlegte Mailadressen bekannt, auf denen aktuell keine Spams ankommen. Die Mailadressen werden jeweils nur für eGun verwendet. Ich hatte aber mal vor Monaten einen Fall, da war der "Absender" einer Spam an eine dieser Adressen ein früherer eGun Kunde, dessen Zugang oder Mailaccount geknackt worden war und wo diese Mailadresse in dessen Kontaktliste stand.

PS: Ich habe übrigens an anderer Stelle gelesen, dass (dank Polizei?) einige Kunden, die versehendlich auf das falsche Konto überwiesen haben, ihr Geld inzwischen per Rücküberweisung erstattet bekamen. Ich kann allerdings verstehen, dass bei einigen Benutzern das Vertrauensverhältnis zu eGun nachhaltig gestört wurde. Geht mir nicht anders...

Bearbeitet 22. Oktober 2014 von 7-ender

[OldHand]

Da ist wohl wirklich etwas nicht in Ordnung. Als ich mich gestern abend in "Mein eGun" einloggen wollte, wurde ich gewarnt " Problem mit dem Sicherheitszertifikat" und es wurde empfohlen, sich nicht einzuloggen. Wer es dennoch tut, braucht sich über trouble nicht zu wundern.

[jaeger7-de]

... " Problem mit dem Sicherheitszertifikat" ...

Das ist aber in der Regel harmlos...

...um https anbieten zu können, muss man jährlich ein Zertifikat bei einem Drittanbieter kaufen. Wenn dieses Zertifikat nicht rechtzeitig erneuert wird, kommt halt diese Systemmeldung. Sonst passiert da aber noch nichts weiter.

[Hunter375]

So nun bekomme ich jede Menge Spam auf die bei egun hinterlegte E-Mail-Adresse.... Was soll ich da jetzt draus folgern, ausser dass die komplette Kundendatenbank gehakt wurde.

Spam's bekommt doch jeder immer mal wider.. egal ob die E- Mail-Adresse irgendwo hinterlegt ist oder nicht! Und abgesehen davon scheint das Problem ja nicht all zu groß zu sein. Bei mir läuft egun wie gewohnt und in meinem Waffenbesitzenden Umfeld hat auch keiner ein Problem damit!

Gruß

Hunter

[_peti]

Das ist aber in der Regel harmlos...

Aber nur beim Kaninchenblog von Omma-Erna.

Wenn der Betreiber einer Onlinehandelsplattform für Waffen vergisst das Zerti zu erneuern ist das hochgradig unprofessionell (um es diplomatisch auszudrücken).

Oder es war schlimmer als ein abgelaufenes Zertifikat: es wurde tatsächlich ein Angriff gefahren.

Oder auch nur ein zerkonfiguriertes System.

Das "haben vergessen, das Zertifikat zu erneuern" kann übrigens nicht sein, es ist vom 15.1.2013-17.1.2015 gültig.

[7-ender]

@Hunter: Der Kollege knight hat das alles sehr richtig dargestellt: 100%ige Sicherheit gibt es im Netz nicht. Man kann sich aber so aufstellen, dass das Risiko so klein wie möglich ist. Wer nur das an Information preisgibt, was unbedingt nötig ist, arbeitet in die richtige Richtung. Und was die "hinterlegte" Mailadresse angeht: Wenn ich den Nutzerkreis einschränke, weiß ich, woher es kommt, wenn sich Probleme ergeben...

Bearbeitet 24. Oktober 2014 von 7-ender

[Hunter375]

...

Und was die "hinterlegte" Mailadresse angeht: Wenn ich den Nutzerkreis einschränke, weiß ich, woher es kommt, wenn sich Probleme ergeben...

Du kannst dann höchstens vermuten woher "es" kommt oder wo deine Mailadresse geklaut worden sein könnte

Und einmal abgesehen davon, ich verwende eine Mailadresse (T-online) seit 15 Jahren für alles und hatte noch nie Probleme.. also wieder mal viel Aufregung um Nix!

Gruß

Hunter

[7-ender]

Nein, man kann auch Quelltexte lesen. Ich lese aber aus Deiner Antwort heraus, dass Dir das Thema fremd ist.

[knight]

Das mit den "Eimaladressen nur für diesen Zweck" ist ja legitim. Man sollte aber im Hinterkopf behalten, dass Spam auch an systematisch oder zufällig generierte Emailadressen verschickt wird, also so in der Art von <alle Vornamen durchprobieren>.<alle Nachnamen durchprobieren>@abc.xy (und natürlich auch nach anderen Systematiken). Wenn man da mal was bekommt, ist das höchstens ein Indiz, dass die Mailadresse abgegriffen wurde aber kein Nachweis.

bye knight

[7-ender]

Das stimmt. Kenne ich von früher (in meinem Fall: t-online), da hatte ich das öfter.

[_peti]

Nein, man kann auch Quelltexte lesen. Ich lese aber aus Deiner Antwort heraus, dass Dir das Thema fremd ist.

Welche Quelltexte meinst Du?

[7-ender]

Informationen über Absender, Server, IP, die jede Mail enthält, die aber normalerweise nicht angezeigt werden.

[HBM]

Informationen über Absender, Server, IP, die jede Mail enthält, die aber normalerweise nicht angezeigt werden.

Es geht doch aber darum, ob die "eigene" Mail-Adresse:

- unberechtigt weiter gegeben wurde

- durch einen Systemfehler / Sicherheitslücke Dritte Zugang zur Adresse bekommen haben

- die Mail-Adresse durch "ausprobieren" generiert wurde

Wie helfen Dir hier die "Analyse" der IP, Weg, etc. weiter? Entweder hab ich in den letzten Jahren was verpasst (bin nicht mehr wirklich auf dem Laufenden, insbesondere bei IPV6, etc.) oder eine Unterscheidung ist, wie früher, nicht möglich.

Wenn eine Mail-Adresse "egun-Hubert-Mustermann-egun@..." plötzlich für Spam bzw. für illegal generierte Mails verwendet wird, dann sehe ich es als sehr wahrscheinlich, dass egun ein Datenschutzproblem hat. Wenn es um "Hubert.Mustermann@gmx.de", etc. geht, dann ist, zumindest meiner Meinung nach, alles möglich.

[7-ender]

Ich bezog mich auch ursprünglich nur auf Hunters Aussage "Du kannst nur vermuten, woher "es" (=die Mail) kommt..." im Zusammenhang von "eine Mailadresse für eine Anwendung". Sorry, wenn ich mich da missverständlich ausgedrückt oder auch etwas missverstanden haben sollte. Natürlich kann ich damit nicht bestimmen, wer da wo was abgegriffen haben könnte.