9 replies to this topic

[myman]

Edit by SAR: Es dreht sich um das Thema Sicherheitslücken bei Systemen, die kritische Informationen wie Bankdaten offenlegen.


Ich denke Bank Fraud in dem Sinne ist damit nicht möglich. Selbst wenn man eine Lastschrift auf das Konto machen möchte, muss das erst bei der Bank freigeschaltet werden, dann gibt es ein Lastschrift Kontingent was eingerichtet sein muss was bei kleineren Firmen bei 2500?‚¬ aufhört und dann kommt noch hinzu, das man Lastschriften 8 Wichen lang zurück buchen kann. Also alles in allem ein nicht praktikables Geschäfft.

Man könnte auf die Daten was bestellen, da reicht aber auch jeder X-Beliebige Faker.

Edited by SAR, 02 November 2014 - 21:40 Uhr.

[FalkE]

Fraud ist hier nicht erwünscht.
Hier geht es um die gepostete Lücke - Diskussionen bezgl. Fraud sind zu unterlassen.

die gepostete lücke beinhaltetet ja bankdaten von dem her: ist die diskussion darüber ja berechtigt.

keine diskussion aber die lücke ist noch da? dann würde ich mal vorschlagen die boardregeln anständig durchzusetzen und den thread zu entfernen.
denn diese maßnahme ist ziemlich sinnfrei.

allerdings sind auch bankdaten dabei - ich weiss gerade nicht ob das hier erlaubt ist;

Edited by SAR, 02 November 2014 - 17:00 Uhr.

[SAR]

Wenn man mithilfe der Lücke das Admin-Panel übernimmt, nen Drive-By, Cookie-Stealer oder weiß der Geier was reinsetzt, ist das nicht wirklich Fraud.
Eine Diskussion darüber, dass da Bankdaten drin sind kann man ja machen. Eine Diskussion darüber, wo man die Daten nutzen kann und wo nicht, ist hier nicht erwünscht. Punkt.


Mfg.
SAR

[FalkE]

ich glaube du hast das ganze falsch verstanden. die lücke ist für alle einsehbar.
jeder der sich das 2 minütige sqlmap tutorial durchgelesen hat kann sich die ganzen daten ziehen.

leider zählen zu den daten: bankaccounts, und kredit karten informationen unbeteiligter.
die diskussion hat sich um die relevanz der betroffenen daten und das schadensausmaß für unbeteiligte gedreht, nicht um die anwendung.

laut boardregeln wird fraud nicht tolleriert, aber die publizierung solcher daten geht in ordnung? bereichern sich bestimmt mittlerweile schon mitleser daran.
cooky1 hat doch selbst eine fragliche anmerkung verfasst. entweder man tolleriert fraud oder nicht, diese lücke trägt ungewollt dem gegenteil der boardregelung bei.


ist eigentlich eine ganze einfache sache...

[SAR]

Die Lücke ist für alle einsehbar. Ja und?
Soll das jetzt im Umkehrschluss heißen, dass alle Lücken die gepostet werden in denen die Daten von Dritten enthalten sind gelöscht werden sollen? Wo willst du die Grenze ziehen? Bei Daten wie Bankverbindungen? Bei E-Mail/Passwort-Kombie die auch zufällig in Facebook/Amazon/Ebay verwendet werden?

Ne Lücke ist ne Lücke. Ob sie jetzt bei der NSA, einem Forum oder bei einem Shop ist, ist im dem Sinne egal. Eine Lücke ist ein wunderbares Lehrbeispiel für unsere Anfänger und/oder Fortgeschrittenen, eine Lücke ermöglicht anderen Leuten ihr Botnet weiter aufzubauen (oder nicht? Man könnte bei seinen Bots Stealer executen und dann kommt wieder an die Daten von unbeteiligten Personen).
Das ist und bleibt eine Lücke, was die Leute damit anstellen ist nicht unser Problem. (Zumal du jetzt für Idioten, der noch nicht wusste was er mit dieser Lücke machen soll, gesagt hast wie es geht)

Achja: Die Lücke ist jetzt für jeden Einsehbar, richtig? Bedeutet das auch nicht gleich im Umkehrschluss das jeder Fraudler damit ein Risiko eingeht, falls er diese Daten benutzt? Hoppla - gehen damit vielleicht Fraudler ins Netz?


Mfg.
SAR

[cooky1]

für mich steht in erster linie die lücke im vordergrund, die bankdaten sind
leider ein unschönes anhängsel.

da ich mir unsicher war, habe ich diesen thread in "Vulnerabilities" gepostet -
für user ab 20 posts.

[FalkE]

ich verstehe nicht warum du mich jetzt als feindesbild und gegenargumentator glorifizierst, war einfach nur eine anmerkung und gleichzeitig meine persöhnliche meinungsäußerung. wenn man unterstrichen eine gegen fraud orientierte boardregelung aufstellt sollte man bei sachen grenzen ziehen.

natürlich! in dem fall bei bankdaten (wurde in den letzen forengenerationen auch immer beachtet).
es obliegt euch die inhalte dieses forums zu kontrollieren, wenn ich ein cc/paypal dump veröffentliche spricht das wieder gegen die regel? nett diese halbmoral.

ein lernbeispiel hm? klar so kann man das natürlich auch so betrachten (abseits der statistischen aussage das der vulnerablility bereich zu 96 % von leechern genutzt wird und lücken aus gründen wie "da gibts noch mails" eingetragen werden). alles kann aus verschiedensten sichtwinkeln betrachtet und interpretiert werden aber hey kann ja auch sein das die bankverbindung zu reichen säcken gehört und mache der allgemeinheit einen gefallen wenn ich seine daten missnutze.

für mich hat sich die sache erledigt. sollte nur eine anmerkung sein, liegt nicht in meinem interesse dir deinen "job" vorzuschreiben.
nur sollte man mal erwägen gezielte regeln für diese sektion aufzustellen oder die boardregelung zu aktualisieren, denn aktuell zählt noch fraud zu den verbotenen inhalten

[myman]

Ein bisschen fühle ich mich auch missverstanden. Mir ging es darum deutlich zu machen, das man mit Bankdaten weniger anfangen kann als mit einer email:pass Combo.
FalkE kann ich leider mal wieder garnicht zustimmen. Wo ist deiner Meinung nach die Grenze ? Du scheinst ja Konsequent unzufrieden damit zu sein, das hier Sicherheitslücken gepostet werden, die von allen einsichtig sind. Eins muss dir doch klar sein, das ist im wesentlichen alles nicht okay was hier gemacht wird. Es wird sich an persönlichen Daten anderer Vergriffen, Bots,Rats,Stealer,Logger,SQLi,XSS all das dreht sich doch hier um eins - Datenbeschaffung. Was dann damit gemacht wird ist jedem selbst überlassen. Hier soll ganz einfach kein direkter Bezug zum Fraud gemacht werden ala "ich droppe XY" , "carde euch XY" womit also wirklich reine Geschäfte gemeint sind, bei denen es um Geld/Reelle Güter geht.

Diese Lücke und der Inhalt sind einfach weit davon entfernt.

[Osed28]

Ich möchte auch mal was da zu schreiben .png' class='bbc_emoticon' alt='^^' />

Man wird hier öfter Gefragt wann fängt Fraud an.. na ganz einfach wenn es um online Betrug geht, wenn ich jemanden wissentlich Betrügen möchte das ist für mich Fraud.
und Fraud ist noch lange nicht eine sqli nur weil dort Bankdaten drin stehen, es kommt dann drauf an was man mit den Daten macht. Eine sqli ist immer noch eine Sicherheitslücke auch wenn dort pp acc??s Bank Veelbindungen drinne stehen. Was da drin teht ist ja erst einmal uninteressant es geht ja immer noch um die Sicherheitslück. was denn die Person mit den Daten macht kann uns doch egal sein. So lange man gegen FRAUD ist Ignoriert man die dort stehenden Daten und wenn man halt rum Fraudlern will dann nutzt man diese Daten halt.. aber das nutzen und wie man diese "Bank Daten" verwendet ist ein Absolutes Tabou Thema hier im Board.

und ich bin Absolut gegen fraud !!

meine Meinung

Mfg: Osed

[myman]

Es gibt ja auch einfach genug andere Foren wo man sich austoben kann. Da gehts es ja explizit darum. Vielleicht sollte man das in der Reg gleich mit aufnehmen und redirecten