iZettle? Nein danke …

iZettle-LesegeraetDer Anbieter iZettle bringt eine Neuerung, die auf den ersten Blick attraktiv aussieht. Mit Hilfe eines Zusatzgerätes, eines Kartenlesers für Kredit- und EC-Karten kann ein jeder, auch Privatleute, Kartenzahlungen entgegen nehmen. Man muss dafür nur ein Konto bei iZettle haben, den Kartenleser ins iOS oder Android-Schlauphone stecken und schon geht das. Es fallen nur Transaktionsgebühren in Höhe von 2,75% an.

Was auf den ersten Blick wie ein schlauer Plan klingt, erzeugte bei mir umgehend Bedenken. Skimming ist keine neue Form der Kriminalität. Dabei werden PINs und andere Informationen der Kredit- oder EC-Karten an manipulierten Bankautomaten abgegriffen und damit dann das Konto leergeräumt. Angesichts dessen soll ich meine Karte ernsthaft in ein Smartphone stecken, von dem ich nicht weiß, was darauf alles so läuft? Womöglich noch auf dem Flohmarkt bei windigen Händlern? Und selbst wenn es sich bei demjenigen mit dem Smartphone um einen vertrauenswürdigen Freund handelt, woher weiß ich, was für Trojaner der auf seinem Gerät sammelt, die ihrerseits meine Daten sammeln?

Was? Das Verfahren ist toootal sicher? Na klar, das erzählen uns die Banken auch schon seit Jahren über Bankautomaten und Zahlungen via Karten. Dass das nicht stimmt, zeigen immer wieder Berichte, oder das Desaster mit den neuen Chips auf Kreditkarten, auch wenn die Banken regelmäßig versuchen, abzuwiegeln.

Trotz dieser Bedenken war ich technisch genug interessiert, um das mal ausprobieren zu wollen und hatte deswegen vor, mir so ein Gerät zu bestellen. Ein Promotion-Angebot von iZettle lautete: 14,95 Euro für das Gerät, inklusive 20 Euro Guthaben für Transaktionen. Auf einer Übersichtsseite kann man nachprüfen, welche Smartphones geeignet sind. Mein Samsung 9001i war leider nicht dabei. Daraufhin habe ich per Mail bei deren Support angefragt, ob mein Gerät geeignet ist. Antwort kam zwar bereits am nächsten Tag – aber die überraschte mich. Die lapidare Antwort lautete „keine Ahnung – schauen Sie auf unsere Kompatibilitätsliste im Web“. Dummerweise hatte ich jedoch bereits in meiner Anfrage darauf hingewiesen, dass ich mein Smartphone dort nicht finden konnte … Auf eine Nachfrage (und nochmal einen Tag warten) wies man mich nur auf den Passus auf der Webseite hin: „Falls Ihr Gerät oder Betriebssystem nicht auf der Liste steht, können wir nicht garantieren, dass iZettle damit funktioniert.“ Bis die Antworten gekommen waren, gab es das Einführungsangebot natürlich nicht mehr.

Gandios. Man ist offensichtlich als international agierendes Unternehmen im Geldgeschäft nicht in der Lage und auch nicht daran interessiert, festzustellen, ob sogar gängige Kundengeräte überhaupt tauglich sind. Und bei einem derartigen Supportverhalten soll ich iZettle tatsächlich aus Sicherheitssicht äußerst kritische Finanzgeschäfte anvertrauen? Garantiert nicht.

[cc]

Pressefoto iZettle-Lesegerät Copyright iZettle

GMX und der Spam – „Konto für den Mailversand gesperrt“

Ich habe ein GMX-Freemail-Konto. Das ist relativ alt und wird im Prinzip nicht genutzt, es war vor Äonen mal eingerichtet worden, um eine Emailadresse nutzen zu können, wenn man seine korrekte Adresse nicht so gern verwenden möchte. Direkt zugegfriffen habe ich auf das Konto nie, ich habe mich also in den letzten Jahren nicht ein einziges Mal über die Weboberfläche angemeldet oder  auch mit dem Mailclient dort Post abgeholt. Vielmehr habe ich die Mails von dort mit einem anderen Freemail-Account mittels POP3-Abruf eingesammelt.

Seit ein paar Tagen beobachtete ich bereits eine deutlich erhöhte Menge Bounce-Meldungen verschiedener Mailserver, die ich zuerst für den üblichen Bounce-Spam hielt. Tatsächlich wird aber laut GMX über das Konto Spam versendet und man wies mich darauf hin, dass ich das Passwort ändern solle.

Das gestaltet sich schwierig, weil ich mich wie bereits erwähnt seit gefühlten Äonen dort nicht mehr angemeldet habe, ich konnte mich nur grob an die üblicherweise von mir genutzen Kombinationen aus Zeichen und Sonderzeichen erinnern. Ein Login war aber nicht möglich – entweder weil ich mich nicht korrekt erinnerte oder weil sich jemand Zugriff verschafft hatte und das Passwort geändert hat.

Heute wurde das Konto dann laut GMX wegen massivem Spamversand gesperrt. Das stört mich jetzt erst einmal weniger, da das Konto – wie bereits erwähnt – ohnehin nicht wirklich genutzt wird und eher als Honeypot wirken sollte.

Eine Recherche im Web zeigt, dass es zahlreiche Benutzer mit demselben Problem gibt, es wird in nahezu allen Fällen eine Verseuchung des Rechners angenommen und die Kommentare lauten in aller Regel „selbst schuld“.

Das ist nach meinen Erfahrungen aber zu kurz gegriffen und die Personen, die das so kolportieren machen es sich offensichtlich zu einfach – dazu gehört übrigens auch GMX. Entweder jemand hat sich über einen Brute Force-Angriff Zugriff verschafft oder es kam zu einem Datenleck bei einem der Dienste für die ich die GMX-Adresse genutzt habe. Weil ich die Adresse aber bereits seit Jahren nicht mehr aktiv verwendet habe, halte ich das für relativ unwahrscheinlich. Zudem habe ich mich wie oben erläutert ebenfalls seit vielen Jahren (ich schätze mal acht bis zehn) nicht mehr bei GMX eingeloggt, deswegen halte ich es für ausgeschlossen, dass ein Trojaner die Login-Daten abgegriffen hat. Auch über den POP3-Abruf kann meiner Ansicht nach niemand an das Passwort kommen, es sei denn, es gäbe eine Sicherheitslücke beim anderen Freemailer, allerdings gehe ich davon aus, dass dann auch das dortige Konto betroffen wäre.

Die dritte nicht von der Hand zu weisende Möglichkeit ist natürlich, dass es ein Sicherheitsproblem bei GMX gibt und die Konten deswegen nicht ausreichend gesichert sind.

GMX-Nutzer sollten sich also bei derartigen Problemen keinesfalls mit dem Versuch abspeisen lassen, Ihnen den schwarzen Peter zuzuschieben.

Sollte es aktuell tatsächlich zu einer Häufung dieser Vorfälle im Zusammenhang mit GMX kommen, und nach einer Recherche sieht es so aus, dann wird sicherlich eine der einschlägigen IT-Seiten in Kürze erhellend berichten.

[Update 17.0302012] Ich konnte via Thunderbird noch auf das Konto zugreifen (ich schleppe den Mailaccounts seit vielen Jahren mit, ohne ihn abzurufen), das alte Passwort war also nicht geändert worden. Dadurch hatte ich die Möglichkeit, das Passwort zu ändern – das alte war aber auch nicht verändert worden, sonst hätte auch der Client nicht mehr auf das Konto zugreifen können. Nach der Anmeldung am Webinterface konnte ich feststellen, dass tatsächlich Spam-Mails versendet worden waren.

GMX sollte sich hier eindeutig Sorgen machen, denn es ist offensichtlich, dass Dritte sich Zugang zu Kundenkonten verschaffen können. Zu spekulieren wie das möglich sein kann ist natürlich für Außenstehende müßig, allerdings halte ich es für nahezu ausgeschlossen, dass mein Passwort, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen erraten werden konnte.

Das Passwort ist jetzt geändert, die fragliche Emailadresse gelöscht. Ich bin schon sehr gespannt, was jetzt passiert, also ob es weiterhin zu Zugriffen auf das Mailkonto kommt. Das wäre der letzte Beweis dafür, dass das Problem eindeutig bei GMX liegt.

Logo GMX Copyright United Internet

SecretSync für Dropbox

Die Sicherheitslücken und Probleme bei Dropbox reißen nicht ab.  Erst die Berichte über die Backdoor für US-Behörden, dann Dropship (bei dem man sich streiten kann, ob es sich um einen Bug oder ein Feature handelt) und zuletzt die Tatsache, dass alle Dateien aller Konten für ein paar Stunden für jeden frei zugreifbar waren.

Eine Möglichkeit die Dateien verschlüsselt abzulegen war es, einen Truecrypt-Container in den Dropbox-Ordner zu werfen, von dem dann auch nur Teile synchronisiert wurden, wenn sich Dateien darin änderten – für viele Nutzer ist das aber zu unverständlich oder zu umständlich. Der Charme des Dropbox-Ansatzes liegt ja für die Meisten gerade darin, wie einfach das zu handhaben ist.

Abhilfe schafft neuerdings SecretSync, das einen Ordner für vertrauliche Dateien anlegt, die Client-seitig verschlüsselt und mit dem Dropbox-Ordner abgeglichen werden, ohne dass man große Klimmzüge machen muss oder die Bequemlichkeit verloren geht. Ist SecretSync auf allen Clientrechnern installiert, auf denen man Dropbox nutzt, kann man ab sofort bequem verschlüsselte Dateien austauschen, auf die Dritte keinen Zugriff haben.

SecretSync steht derzeit für Windows und Linux zur Verfügung, Mac OS soll folgen, iOS-Geräte sind außen vor. Für die Nutzung muss Java auf dem Rechner installiert sein.

„Vergessen im Internet“ revisited: Stellungnahme des BMI

Nachdem ich in einem vorhergehenden Artikel auf eine in mehrfacher Hinsicht problematische Seite des BMI hingewiesen hatte, blieb trotz konkreter Anfrage eine Antwort aus; die Seite wurde allerdings halbherzig überarbeitet. Da ich um eine Stellungnahme gebeten hatte, jedoch keine kam und ich vermutete, dass man bei den Verantwortlichen die Sache einfach mal aussitzen wollte, habe ich nochmal nachgehakt und darauf hingewiesen, dass bei einer unterbleibenden Reaktion dann nur meine Meinung hier zu lesen sein wird. Das hat dann doch zu einer Antwort geführt, die ich wie angekündigt auch hier veröffentlichen möchte.

Den Inhalt des Antwortschreibens und meinen Kommentar dazu findet man im erweiterten Artikel.

Continue reading