PSN Datenklau

[Ronnie Drew]

Problem ist, dass die Zertifizierungen 1x/Jahr gemacht werden, wenn die also zwischendurch irgendwas machen und nicht von sich aus beim Zertifizierer wegen ner Zwischenprüfung oder so anfragen (kost ja alles Geld), kriegt man das frühestens im nächsten Jahr mit.
Wie der Fall "Libri"-Onlinebuchhandel (ging mal durch die Medien) ja damals gezeigt hat, wo die kurz nach der Zertifizierung eine ungesicherte Lieferabfrage eingebaut hatten und jeder durch Eingabe einer beliebigen Nummer dann die Buchbestellungen anderer Leute sich anschauen konnte.

Und Itchy, Butter bei die Fische, welche Firma? Kannst mir gerne auch per PM schreiben, dann geb ich das weiter.

[Itchy]

Deswegen habe ich mir jetzt einen vom TÜV Süd zertifizierten Online-Shop herausgesuch...

Nur aus Neugier: hast du auch beim TÜV Süd vorher dir verifizieren lassen ob der Online-Shop wirklich offiziell zertifiziert wurde und wann wurde das Zertifikat ausgestellt (und seit wann ist die Lücke bekannt)?*

Ich bin über die TÜV Seite auf den Shop gekommen, dort findet man eine Liste der zertifizierten Shops. Die Lücke ist wahrscheinlich genau nur mir bekannt und sonst niemanden. Das ist so wie ich das sehe keine Standard-Software, sondern da hat jemand Müll entwickelt.

Problem ist, dass die Zertifizierungen 1x/Jahr gemacht werden, wenn die also zwischendurch irgendwas machen und nicht von sich aus beim Zertifizierer wegen ner Zwischenprüfung oder so anfragen (kost ja alles Geld), kriegt man das frühestens im nächsten Jahr mit.
Wie der Fall "Libri"-Onlinebuchhandel (ging mal durch die Medien) ja damals gezeigt hat, wo die kurz nach der Zertifizierung eine ungesicherte Lieferabfrage eingebaut hatten und jeder durch Eingabe einer beliebigen Nummer dann die Buchbestellungen anderer Leute sich anschauen konnte.

Das weiß ich ja alles, deswegen zeige ich ja nicht mit dem Finger auf den TÜV und zweifel dessen Arbeit an. Wenn ich einen Penetrationstest oder ein Audit durchführe, dann kann ich auch nur eine Momentaufnahme abgeben und Anspruch auf Vollständigkeit hab ich auch nicht. Genauso wenig wie die TÜV Plakette am Auto garantiert, dass die nächsten 2 Jahre nichts passiert, kann eine Zertifizierung für irgendetwas bürgen, außer dass zum Zeitpunkt der Zertifizierung die Anforderungen erfüllt wurden.

Und Itchy, Butter bei die Fische, welche Firma? Kannst mir gerne auch per PM schreiben, dann geb ich das weiter.

Sorry, auch auf die Gefahr hin, als Großmaul dazustehen: erstens ist so ein kurzer Pentest ohne Auftrag auch ohne die Intention, Schaden anzurichten juristisch im besten Falle eine Grauzone. Zweitens sind das Dienstleistungen, für die ich (bzw. mein Arbeitgeber) gerne Geld sehen würden.

[Rom]

itchy ist nen hacker 

[Itchy]

Gibt keinen besseren Job

[Blaukool]

Da wäre ich mir nicht so sicher...

[X]

was bist du blaukool? Pron-tester?

[Blaukool]

Ich hab nicht gesagt das mein Job besser ist ich hab nur gesagt das ich glaube das es besseres gibt... Und wenn du mir die Hoffnung jetzt nimmst dann muss ich dir weh tun 

[Rom]

Frauenarzt 

[Accipiter]

http://www.spiegel.de/netzwelt/web/0,1518,766349,00.html
Trolololol...

[kokunze]

<quote>Hilfreich sei außerdem gewesen, dass Passwörter, E-Mail-Adressen und Wohnadressen von Nutzern der Website nicht verschlüsselt abgespeichert worden waren.</quote>
 

Passwörter unverschlüsselt ablegen... ne... neeee....

[Shadowcaster]

Passwörter unverschlüsselt ablegen... ne... neeee....

Wieso? Scheint doch Firmenpolitik zu sein das so zu machen.

[Accipiter]

Die sollten sich echt Comical Ali als neuen Pressesprecher einstellen...