jeder kann dein Postkonto ganz einfach plündern!

[Rankhof]

ex http://www.saldo.ch

Gravierendes Sicherheitsrisiko bei den Gelben Konti

Unglaublich: Jeder kann im Internet ganz einfach mit der Postkontonummer eines andern bezahlen. Denn die nötigen Daten sind öffentlich zugänglich.

Franco Tonozzi

Die Post liefert ihre Kunden grobfahrlässig Betrügern aus. Wer die Kontoauszüge nicht genau kontrolliert, zahlt möglicherweise für Dienstleistungen, die er nie in Anspruch genommen hat. Wie leicht ein fremdes Konto belastet werden kann, testete saldo letzte Woche mit verschiedenen Postkonti - etwa mit jenem von Postfinance-Chef Jürg Bucher. Mit Erfolg: saldo hatte keine Probleme, ihm verschiedene Schmuddel-Dienstleistungen auf dem Gelben Konto zu belasten. Der Postfinance-Chef bestätigte gegenüber saldo die Abbuchung. Um den Schock für den obersten Postbanker möglichst klein zu halten, hat ihm die Redaktion nur 60 Franken belastet. saldo hatte auch keine Mühe, im Internet auf Kosten des Eidgenössischen Datenschutzbeauftragten Hanspeter Thür Zugang zu Live-Sex-Shows zu erhalten.

Das zeigt: Jeder der ungefähr drei Millionen Postkontoinhaber muss jederzeit damit rechnen, dass sein Konto von Unbekannten belastet oder gar geplündert wird. Und das geht mit Debit Direct ganz einfach: Um die Internetdienstleistungen einiger Sexanbieter einem Konto zu belasten, benötigt man lediglich eine Kontonummer - die eigene oder eine fremde (siehe Kasten «So einfach funktioniert der Zugriff»).

Doch woher hat saldo die vertraulichen Kontonummern? Die unglaubliche Antwort: Von der Post selbst. Betrüger brauchen nur die Internetseite der Postfinance anzuwählen. Dort steht ihnen frei zugänglich eine Datenbank mit den nötigen Informationen zur Verfügung. Verzeichnet sind sogar die Kontonummern von hohen Politikern und Wirtschaftskapitänen, deren Namen nicht einmal im Telefonbuch stehen. saldo hätte spielend die Postkonti von Aussenministerin Micheline Calmy-Rey, Tennisstar Martina Hingis oder anderen prominenten Schweizern belasten können - so wie die aller anderen Postkunden.

Wer etwa den Familiennamen «Keller» und «Bern» in die Suchmaske eingibt, erhält sekundenschnell über 140 Kontonummern geliefert. Alle diese Postfinance-Kunden könnten sofort von irgendeinem Computer aus belastet werden.

Datenschützer Hanspeter Thür spricht Klartext: «Dieses Abrechnungssystem der Post erfüllt offensichtlich nicht einmal die primitivsten Sicherheitsanforderungen.» Zum Vergleich: Wer dieselben Dienstleistungen über eine Bank bezahlen will, braucht eine Kreditkartennummer, das Gültigkeitsdatum und einen dreistelligen Sicherheitscode. Ausserdem publizieren Kreditkartenfirmen die Daten ihrer Kunden nicht im Internet.


«Die Post verletzt das Datenschutzgesetz in krasser Weise»

Dass Zahlungen mit dem Debit-Direct-Verfahren deutlich sicherer abgewickelt werden könnten, beweist die Post selbst: Wer beispielsweise in Schweizer Online-Shops einkauft, muss neben der Postkontonummer auch seine Postcardnummer angeben - und die steht wenigstens nicht im Internet.

Datenschützer Thür: «Die Post verletzt das Datenschutzgesetz in krasser Weise.» Deshalb fordert er: «Die Postfinance hat diesen Service unverzüglich zu sistieren, bis die Sicherheitsprobleme gelöst sind.»


Debit Direct: Lückenhafte Kontrolle der Transaktionen

Die Post teilt diese Auffassung nicht. Die Kontonummern würden nur mit dem Einverständnis der Kunden im Internet publiziert. Bei der Eröffnung eines Gelben Kontos sei dies auf dem Antragsformular vermerkt. Doch: Postkunden, die ihr Konto vor der Internetzeit eröffneten, nützt dies nichts.

Dass das Debit-Direct-Verfahren unsicher ist, gibt die Post indirekt jedoch zu: Transaktionen würden im Gegensatz zum Lastschriftverfahren bei Banken nur «stichprobenweise» überprüft.

Übrigens: Postminister Moritz Leuenberger und Postchef Ulrich Gygi haben kein Gelbes Konto. Oder ihr Konto wird nicht veröffentlicht.



So einfach funktioniert der Zugriff auf fremde Postkonti

So einfach hat saldo die Gelben Konti von Postfinance-Chef Jürg Bucher und dem Eidgenössischen Datenschutzbeauftragten Hanspeter Thür belastet.

1. saldo geht auf die Internetseite der Postfinance. Im öffentlich zugänglichen Kundenverzeichnis stehen die Kontonummern unter anderem von Postfinance-Chef Bucher und von Datenschützer Thür.

2. saldo geht auf eine deutsche Internetseite, die das Lastschriftverfahren mit Schweizer Postkonti anbietet und tippt Name und Kontonummer von Bucher beziehungsweise von Thür ein.

3. Das Computersystem verlangt nach einer Telefonnummer, die angerufen werden kann. Nach genau einer Minute ruft der Computer die von saldo angegebene Nummer an. Eine Tonbandstimme gibt einen sechsstelligen Zugangscode bekannt. Betrüger könnten dasselbe mit einer nicht registrierten Handy-Nummer tun. In der Schweiz gibt es mehrere hunderttausend solcher anonymer Nummern.

4. saldo tippt den Code ein und kann sofort alle kostenpflichtigen Angebote der Website nutzen.

Das müssen Postkontoinhaber wissen

Debit Direct heisst das Lastschriftverfahren bei der Post. Es erlaubt den Zugriff auf ein Fremdkonto. Das müssen Postkontoinhaber wissen:
- Belastungen des eigenen Kontos durch einen Dritten sind illegal, sofern der Kontoinhaber nicht sein Einverständnis gegeben hat.
- Die Post muss solche Belastungen auf Reklamation hin rückgängig machen. Dies auch später als 30 Tage nach Erhalt des Kontoauszugs.
- Zu Ihrer Sicherheit: Sie können der Post mit eingeschriebenem Brief mitteilen, dass Sie keine Debit-Direct-Belastungen auf Ihrem Konto akzeptieren.

Saldo rät dringend: Teilen Sie per eingeschriebenem Brief mit, dass Sie keine Debit-Direct-Belastungen auf Ihrem Konto akzeptieren.

(Und Rankhof rät, auch die Postkonto-Nr. aus dem öffentlichen Verzeichnis entfernen zu lassen oder gleich zu einer seriösen Bank zu wechseln)

[Domingo]

ex http://www.saldo.ch

Das müssen Postkontoinhaber wissen

Debit Direct heisst das Lastschriftverfahren bei der Post. Es erlaubt den Zugriff auf ein Fremdkonto. Das müssen Postkontoinhaber wissen:
- Belastungen des eigenen Kontos durch einen Dritten sind illegal, sofern der Kontoinhaber nicht sein Einverständnis gegeben hat.
- Die Post muss solche Belastungen auf Reklamation hin rückgängig machen. Dies auch später als 30 Tage nach Erhalt des Kontoauszugs.- Zu Ihrer Sicherheit: Sie können der Post mit eingeschriebenem Brief mitteilen, dass Sie keine Debit-Direct-Belastungen auf Ihrem Konto akzeptieren.

Saldo rät dringend: Teilen Sie per eingeschriebenem Brief mit, dass Sie keine Debit-Direct-Belastungen auf Ihrem Konto akzeptieren.

(Und Rankhof rät, auch die Postkonto-Nr. aus dem öffentlichen Verzeichnis entfernen zu lassen oder gleich zu einer seriösen Bank zu wechseln)

Das reicht im Normalfall schon, man muss nur den Kontoauszug anschauen ]Quatsch, will ich wirklich für jede Miete, Swisscom-, Billag-, EBM- und Krankenkassenrechnung einen Einzahlungsschein??? [/color]

gnägnägnä, ums mit trendigen Worten zu sagen

was ich bis anhin jedoch noch nie angetroffen habe (spricht wohl für mich bzw meine Surfgewohnheiten) ist eine Seite, wo die Kto-Nr ausreichte, überall, wo ich eine "Spontan"-DebitDirect-Buchung lassen machen wollte musste ich sowohl die Kto-Nr als auch die Postcardnummer angeben

[Mindl]

was ich bis anhin jedoch noch nie angetroffen habe (spricht wohl für mich bzw meine Surfgewohnheiten) ist eine Seite, wo die Kto-Nr ausreichte, überall, wo ich eine "Spontan"-DebitDirect-Buchung lassen machen wollte musste ich sowohl die Kto-Nr als auch die Postcardnummer angeben

youpie stohsch mitere digicam, i dä nöchi vomene postomat knips und du hesch d nummere

[Domingo]

youpie stohsch mitere digicam, i dä nöchi vomene postomat knips und du hesch d nummere

nid dr PIN, dPostcardnummere

mal abgseh drvo, dass i äin wo mit emene Natel odr Cam in dr Nöchi vomene Postomat brätsche würd

[Pinkel]

Mis gäle Conti ch niemerts plündere, ich nämlig gar keins.

[Ayrton]

mins au nit. mins isch gsperrt.

[Mindl]

nid dr PIN, dPostcardnummere

mal abgseh drvo, dass i äin wo mit emene Natel odr Cam in dr Nöchi vomene Postomat brätsche würd

jo dr pin interresiert di jo au nid: hochufflösendi kammera, und klick... dä häsch d nummere und kontonummere uff ei schlag... drzue würdisch du das gar nid merke wenns eine gschigt macht
zuedem wenn ich dr pin filme chönti, den machsch du irgendeppis falsch am bankomat (postomat)

[Kawa]

(Und Rankhof rät, auch die Postkonto-Nr. aus dem öffentlichen Verzeichnis entfernen zu lassen oder gleich zu einer seriösen Bank zu wechseln)

Genau

[Stormy]

Ich habe mich auch schon mal gewundert. Bei einer Spendenaktion der Glückskette wurde ebenfalls eine Zahlung per Postkonto angeboten - normalerweise funktioniert so etwas ja über Yellownet mit zig Passwörtern und einmalig verwendbaren Sicherheitscodes, dort reichte jedoch schon die Postkontonummer und die Adresse. Theoretisch hätte man dort im Namen jedes Postkontobenutzers für wohltätige Zwecke spenden können. Dass das keiner im grossen Stil gemacht hat, liegt wohl nur daran, dass man sich dadurch nicht selbst bereichern konnte.

Das Problem an solchen Angeboten ist nicht, dass jeder frei an die Kontonummern kommt. Schliesslich ist ja die Kontonummer normalerweise nichts, was man geheim halten müsste. Im Gegenteil, wenn man auch Überweisungen empfangen will, MUSS man die sogar weitergeben oder öffentlich bereitstellen. Firmen haben sogar ein Interesse daran, dass ihre Kunden leichten Zugriff auf diese Daten haben. Das Problem ist, dass die Post solche hirnrissigen Bezahlangebote ohne jegliche Sicherheitsmassnahmen anbietet, bei denen die Kontonummer und andere frei zugängliche Daten ausreichen, um Geld auszugeben. Wundert mich, dass das jetzt erst auffliegt, so dreist wie das war.

[Black Squad]

Uh isch jo mega unsicher.

Ich find die Datebank guet, chani immer go luege wenn ich me kolleg oder so no öpis schuld und schnell überwise.

[Sisko]

das ist die gradwanderung zwischen benutzerfreundlichkeit und sicherheit. es ist halt schon angenehm kleine beträge so auf die schnelle ohne passwort und streichliste zu bezahlen.

[Sad Mo S.]

hat es jemand von euch getestet?

oder geht es jetzt nicht mehr?

[baasel]

wo genau findet me die Datebank? Cha mol öbber e Link poste

[Domingo]

ich vermute, dass sie auf der Homepage entfernt wurde (mE war sie unter Services oder sowas), aber im yellownet (online-Zahlungslösung der Post) ist sie unter Services, Kontoverzeichnis noch drin, allerdings vermute ich, dass die Suche protokolliert wird (oder man sich einfach sicherer fühlt, da der Nutzer mit seinen persönlichen Zugangsmitteln reinmuss), d.h. man kann wenn jmd die Kto-Nr via yellownet abgefragt hat den Täter ausfindig machen

[frikshow]

Hier:

http://etv.directories.ch/index.aspx?do ... archYellow

[Domingo]

Hier:

http://etv.directories.ch/index.aspx?do ... archYellow

muesch jo au registriert sy

[HKV]

auf jetzt


Oeri-Trefzer Andreas und Gisela
4052 Basel BS
CHF 40-36653-2

[beginner]

auf jetzt


Oeri-Trefzer Andreas und Gisela
4052 Basel BS
CHF 40-36653-2

Hehe zu hart...

kauffsch mir e e nivea for men crème?

[Mr. Blonde]

tscheeeesssss

die wixer hän mi au dinn!!!!

[Luke]

tscheeeesssss

die wixer hän mi au dinn!!!!

Ganz ruhig Gisela

[penalty]

Bin ich der einzige, der es nicht sehr sinnvoll findet, dass eine genaue Anleitung geliefert wird, wie dieser Betrug funktioniert, bevor das Problem von Seiten der Post behoben werden konnte?

[IP-Lotto]

Bin ich der einzige, der es nicht sehr sinnvoll findet, dass eine genaue Anleitung geliefert wird, wie dieser Betrug funktioniert, bevor das Problem von Seiten der Post behoben werden konnte?

Nein, aber Denken gehört bekanntermassen schon länger nicht mehr zu den Stärken der schreibenden Garde.

[Domingo]

seh ich genauso, aber das ist gem. Saldo vermutlich Dienst am Kunden

[kopfwee]

@penalty

a finds nid schlächt, well jo alli feelbuechige vo dr boscht wiider storniert wärde mien, duet sone biz missbruuch velicht ändlig d hirnzälle wo dänen arrogante boschthainis uff d duure bringe!

[Specht]

Bin ich der einzige, der es nicht sehr sinnvoll findet, dass eine genaue Anleitung geliefert wird, wie dieser Betrug funktioniert, bevor das Problem von Seiten der Post behoben werden konnte?

Eine Sicherheitslösung darf nicht darauf beruhen, dass das Verfahren geheim gehalten wird! Wir könnten uns jetzt stundenlang über die verschiedenen Vershclüsselungsmethoden unterhalten...

Es ist richtig und nötig, dass dies öffentlich bekannt wird!

[IP-Lotto]

Eine Sicherheitslösung darf nicht darauf beruhen, dass das Verfahren geheim gehalten wird!

Einverstanden. Trotzdem kann man auf Mängel aufmerksam machen, ohne gleich eine Schritt-für-Schritt Anleitung zum Betrug zu publizieren. Mit Verschlüsselungsmethoden hat das rein gar nichts zu tun.

[penalty]

Eine Sicherheitslösung darf nicht darauf beruhen, dass das Verfahren geheim gehalten wird! Wir könnten uns jetzt stundenlang über die verschiedenen Vershclüsselungsmethoden unterhalten...

Es ist richtig und nötig, dass dies öffentlich bekannt wird!

Es ist richtig und nötig, dass öffentlich bekannt wird, dass man sein Konto auf illegale Buchungen kontrollieren soll.

Aber eine Anleitung zu publizieren, wie dieser Betrug möglich ist, ist absolut unnötig! Und der Sinn einer Sicherheitslösung liegt meiner bescheidenen Meinung nach nicht darin, dass jeder Kriminelle im Internet nachlesen kann, wie er diese umgehen kann...

[Rankhof]

@ IP-Lotto:
Gibt ja gar keine genaue Anleitung, sondern nur theoretisch. Es wird ja keine Seite angegeben, wos funktioniert; die muss man selber suchen.
Zudem: diese "Anleitung" ist ja so was von einfach, da braucht es wirklich nicht viel kriminelle Energie, um selbst drauf zu kommen. Die Einfachheit der Methode ist aber extrem erschreckend, und gerade deshalb ist es gut, wenn man zeigt, wie einfach es geht - grösserer Schockeffekt

@penalty
Einverstanden. Aber auch nur, wenn es da eine Sicherheitslösung der Post gibt! Gibt es aber nicht! Wenn ich mein Geld unter einer Parkbank im Zolli verstecke, jemand sieht das und erzählt das weiter und der klaut mein Geld dann, kann ich auch nicht reklamieren, weil mitgeteilt wurde, wie meine Sicherheitslösung umgangen wurde. Weil ich hatte gar keine Sicherheitslösung.

[penalty]

@penalty
Einverstanden. Aber auch nur, wenn es da eine Sicherheitslösung der Post gibt! Gibt es aber nicht! Wenn ich mein Geld unter einer Parkbank im Zolli verstecke, jemand sieht das und erzählt das weiter und der klaut mein Geld dann, kann ich auch nicht reklamieren, weil mitgeteilt wurde, wie meine Sicherheitslösung umgangen wurde. Weil ich hatte gar keine Sicherheitslösung.

Aber Du wärst auch froh, wenn einer käme und Dir sagen würde: "Rankhof, altes Haus, unter der Parkbank ist Dein Geld nicht sicher, legs lieber unter die Matratze", als in den Blick zu schreiben: "Gravierendes Sicherheitsrisiko bei Rankhofs Ersparnissen! Unglaublich: Jeder kann ganz einfach mit dem Geld von Rankhof bezahlen. Denn das Geld ist öffentlich zugänglich.", und dann den genauen Standort der von Dir auserwählten Parkbank zu nennen. Oder nicht?

[Rankhof]

Aber Du wärst auch froh, wenn einer käme und Dir sagen würde: "Rankhof, altes Haus, unter der Parkbank ist Dein Geld nicht sicher, legs lieber unter die Matratze", als in den Blick zu schreiben: "Gravierendes Sicherheitsrisiko bei Rankhofs Ersparnissen! Unglaublich: Jeder kann ganz einfach mit dem Geld von Rankhof bezahlen. Denn das Geld ist öffentlich zugänglich.", und dann den genauen Standort der von Dir auserwählten Parkbank zu nennen. Oder nicht?

öhmm... nein?


(man muss aber auch dazu sagen, dass in einem solchen Fall ich gleich sagen würde, oh danke, ich ändere das sofort - die Post aber findet, sie müsse nichts ändern (wahrscheinlich macht sie gutes Geld mit Debitdirect); und dann müssen Änderungen halt manchmal mit reisserischen Storys erzwungen werden)