CptCpt

Und die mehr als 5300 Leute, die hier bereits auf diesen Thread geklickt haben, finden das scheinbar doch irgendwie interessant?

Oder sind einfach nur wunderfitzig, da diese 5300 Leute nicht kommentieren sondern scheinbar nur den Beitrag aufrufen 🤔

patrickn

Wo seht ihr das, ausser im jeweiligen Profil?

Die Ansichten eines/r einzelnen Beitrags/Antwort sieht man nur im jeweiligen Profil; die des gesamten Threads stehen unten beim Startbeitrag.

O. R. S.

Ja, "hier", nicht "draußen".

hier kann aber jeder lesen, auch die "draußen".

Google & Co. liest ja auch mit.

Ja, klar, es kommen einfach so mal ein paar Leute auf die Idee, nach Begriffen zu googlen, die zum Thread hier führen.

O. R. S.

Ja, klar, es kommen einfach so mal ein paar Leute auf die Idee, nach Begriffen zu googlen, die zum Thread hier führen.

Du wirst lachen, so habe ich sogar schon Beiträge bei den Foren von O2 und Vodafone im Suchergebnis bekommen.

Daher geht das schneller als du denkst.

Und ich weiß auch, das 2 von golem in den Foren von Telekom, Vodafone und O2 sind.

Klar, wenn eine Zeitung schreibt "Anfang des Monats starb er im Alter von 88 Jahren, wie jetzt öffentlich wurde." wie es in diesem Beispiel das Handelsblatt macht, dann bedeutet das in deiner Logik also, das Handelsblatt hat es die ganze Zeit gewusst. Alles klar.

Achso, okay, ich hab im Bekanntenkreis einige, die eine Strafanzeige erhalten haben, ein Teil davon wurde sogar verurteilt. Aber die haben sich das nur eingebildet. Und das Innenministerium bildet sich das auch nur ein. Und die Telekom schreibt es doch sogar, dass man angezeigt wird, bzw. angezeigt werden muss, also warum genau machen die das dann nicht?

Man wird ja auch nicht für das Melden der Lücke angezeigt bzw. hat ein Verfahren am Hals, sondern für das Entdecken der Lücke.

Und das ist auch bekannt und im Koalitionsvertrag ist sogar vereinbart, dass man dies verhindern möchte.

Nur mal zwei öffentliche Bespiele:
https://www.golem.de/news/moegliche-schwachstelle-entdeckt-ploetzlich-zeuge-2405-184871.html

https://www.golem.de/news/modern-solution-it-experte-wegen-nutzung-einer-zugriffssoftware-verurteilt-2401-181296.html

Siehe auch:

https://netzpolitik.org/2022/hackerparagrafen-sicherheit-fuer-die-sicherheitsforschung/

https://netzpolitik.org/2021/cdu-connect-berliner-lka-ermittelt-gegen-it-expertin-die-sicherheitsluecken-in-partei-app-fand/

@MM423

Wenn man die Lücke nutzt ist man dran. Aber nicht für das entdecken.

Und ließ dir mal die Artikel genau durch, dann weißt du warum es zu dem Anzeigen kam. 

Und der Student war Zeuge. 

Die anderen verwendeten spezielle Software. 

Ich sage ja, ich hatte bisher keine Anzeige bekommen, aber dafür Dankesbekundungen. 

Daher immer beachten, wie es entdeckt wurde. 

Da gibt es Unterschiede. 

Naja, den Schaden muss man auch erstmal nachweisen.

Wenn die Telekom meint es waren keine personenbezogenen Daten betroffen ist genau das die Begründung warum keine Information erfolgt.

So lese ich das.

Naja, da steht bewusst keine "konkreten personenbezogenen Daten". Rein rechtlich ist das deutlich komplizierter, denn es kann sich sehr wohl um relativen Personenbezug handeln (alleine aus der Leitungsnummer) und der wäre nach der EuGH Entscheidung vom 19.10.2016 (Az.: C-582/14) definitiv gegeben und auch nach der aktuellen Entscheidung vom 9. November 2023 (Az.: C-319/22) ist er zumindest denkbar.

Danke auf jeden Fall an @CptCpt für die Anfrage bei FdS.

natürlich ist das alles komplizierter, ich habe lediglich eine Möglichkeit erwähnt warum keine Benachrichtigung erfolgt(e).

Ob das alles korrekt lief und das Thema damit schon erledigt ist werden sicher noch andere klären.

→Mataimaki←

Kombiniert man da etwas, wird immer die echte IP angezeigt.

→Mataimaki←

Es gibt im php 4 Möglichkeiten eine IP abzufragen. Ebenso 3 Möglichkeiten im Javascript, und so weiter in den ganzen Websprachen.

Und was liefert dann so ein Script? Maximal die lokale IP Adresse oder? Oder eben die Adresse des externen VPN Gateways.

Das überzeugt mich jetzt nicht. Aber seis drum, ist hier sowieso OT.

→Mataimaki←

@viper.de

Es gibt im php 4 Möglichkeiten eine IP abzufragen. Ebenso 3 Möglichkeiten im Javascript, und so weiter in den ganzen Websprachen. 

Kombiniert man da etwas, wird immer die echte IP angezeigt.

 

Das ist kein Hexenwerk und schon mind 10 Jahre so. 

 

Daher lache ich ja auch bei der Werbung der VPN Anbieter. 

Oh Gott ist das peinlich. Wie geschrieben, es gibt gewisse Möglichkeiten, gewisse Dinge herauszufinden. Ich würde mit dir aber um eine niedrige bis sehr hohe Summe wetten, du bekommt meine "echte" IP nicht heraus. Für Leute mit VPN gibt's auch genug Tools um genau so etwas zu prüfen (siehe bspw. browserleaks).
Mit PHP gibt's übrigens gar keine Möglichkeit an irgendeine geleakte IP zu kommen, weil du dort einfach nicht die Informationen bekommst, da die "IP" im Normalfall nie einfach mitgesendet wird, sondern du musst versuchen den Browser eine Verbindung außerhalb des VPN öffnen zu lassen, bspw. mit WebRTC oder versuchen den Browser mit deiner bekannten IP zu verknüpfen über Fingerprinting.  Aber auch da bekommt man nicht einfach die IP, sondern führt Informationen zusammen.

Ich habe dann deine dir zugewiesene IP. 

Es geht soweit, das man auch mehrere VPN ausschlüsseln kann. 

Beim Tor muss die Verbindung sehr lange stehen um dieses irgendwann auszuhebeln.

Daher zahlt der USA Geheimdienst auch eine Prämie, wer es schafft Tor schneller auszuhebeln.

Somit aktuell einzig sicherer VPN ist Tor. 

→Mataimaki←

ohne jetzt hier eine Anleitung zu geben - @→Mataimaki← hat recht.  Jede Verbindungsart braucht eine Info von der Gegenstelle/Anrufer. Beispiel "Rufnummern Unterdrückt" das ist nur ein Flag was die Gegenstelle auffordert die Nummer nicht anzuzeigen muss es aber nicht.

Nein, hat der nicht. Und "Rufnummer unterdrückt" ist etwas ganz anderes. Da wird ja trotzdem eine direkte Verbindung zwischen zwei Teilnehmern aufgebaut. Nach meiner Erinnerung ist es aber trotzdem seit einiger Zeit kein "Flag" mehr was man als Normalkunde ignorieren kann und die Nummer trotzdem anzeigen lassen kann. Das wäre auch ein Verstoß gegen § 15 TDDDG. Aber in der Technik bin ich schon länger nicht drin, da mag es vielleicht noch einen Weg geben. 

VPN ist aber etwas ganz anderes, dabei wird die IP-Adresse komplett ersetzt (wie beim NAT zuhause) und ist somit definitiv nicht mehr im IP-Header vorhanden.

Etwa so als würde ich deine Post annehmen, den alten Addressaufkleber entfernen und einen mit meinem Absender aufkleben.

Da gibt es definitiv keine einfache Möglichkeit jede IP-Adresse eines VPN -Nutzers zurückzuverfolgen. Aber auch an dich gerne das Angebot das Gegenteil mit Artikeln, Talks oder eigener  Demo zu beweisen, auch gerne mit Wette

Chris2023

Zur Meldungen:

Wollt ihr wirklich das die Telekom Strafen Zahlt? Wer zahlt es den dann am Schluss wirklich? Der Endkunden - quasi wir!

Nach der Logik können wir Strafzahlungen natürlich ganz lassen. Außerdem ist "der Kunde" ziemlich kurz gegriffen, man kann natürlich an vielen weiteren Punkten sparen, sei es Marketing, Mitarbeiter, Bonuszahlungen, Dividenden, etc.

Heißt natürlich nicht, dass jetzt Mitarbeiter darunter leiden sollen oder ich weniger Dividende möchte.

Aber wer Mist baut muss auch dafür haften, und ich hab auch nicht gelesen dass jetzt jemand riesige Strafen fordert. Aber trotzdem ist es ein Verstoß.

Achso, absolutes Geheimwissen also. Niemand online weiß es, wo du einen Link hinsetzen könntest.

Alle Experten sind anderer Meinung, aber ihr beide wisst es natürlich besser. Ich verstehe.

Und ich habe auch nie gefragt, was du beruflich machst. Du behauptest ja nur über andere Leute, dass bspw. garantiert niemand in diesem Forum ein Anwalt wäre, was schon alleine sehr vermessen ist, bei über 2 Millionen Mitglieder ist doch sehr wahrscheinlich mindestens 1 Anwalt dabei.

Ich kann dir sagen, ich kenne mich ziemlich gut aus, sowohl in Datenschutz, als auch in IT-Security, aber hey, ich würde gerne etwas dazu lernen, was niemand in meiner Abteilung je gehört hat und wenn ich mich an die Netzwerksicherheitsvorlesungen und Hausarbeiten erinnere, auch mein Prof wohl nie gehört hat.

Aber schade, ihr beide werdet dieses Wissen wohl ins Grab nehmen. Naja.

PS: Witzig übrigens, dass du Chris2023 so zustimmst, denn nach seiner Logik wäre Tor genau so unsicher, nach deiner ist es das aber nicht. Aber das sind sicher nur Details...

Liebster Chris, wenn Du mich hier schon zitierest/erwähnst, dann bleib doch bitte bei den Fakten.

Ich habe die Lücke nicht veröffentlicht, sondern nur ein closed source tool bereitgestellt, um NUR die eigenen Daten abzurufen. Ohne dieselbe Lücke wie die Telekom. Habe also nicht dazu beigetragen, dass mehr Leute die Lücke nutzen konnten. Obwohl die vermutlich schon bei Leuten bekannt war. Die Veröffentlichung kam erst, nachdem der CISO der Telekom mir persönlich bestätigte, dass die System auf deren Seite abgeschaltet wurden.

xoxo

Lilith

Liebe @LilithWittmann ,

LilithWittmann

dann bleib doch bitte bei den Fakten.

Fakten kann ich nur aus den erhaltenen Informationen nenen.

Sollte ich hier etwas überlesen haben dann Entschuldig bitte🙏

LilithWittmann

sondern nur ein closed source tool bereitgestellt

Der einsehbare Code auf deiner Web-Seite war aber doch sehr eindeutig oder

habe ich da evtl. etwas falsch interpretiert - Sei es drum - Sorry wenn ich hier falsch liege.

LilithWittmann

ie Veröffentlichung kam erst, nachdem der CISO der Telekom mir persönlich bestätigte, dass die System auf deren Seite abgeschaltet wurden.

Warum wurde dann die richtigen Daten von mir auf der Seite noch angezeigt?

www.anschlussinfo.de war noch online das reichte aus um die Verknüpfungen herzustellen.

Hier auch ein Fehler meinerseit?

--

Lg

Chris

Der einsehbare Code auf deiner Web-Seite war aber doch sehr eindeutig oder

habe ich da evtl. etwas falsch interpretiert - Sei es drum - Sorry wenn ich hier falsch liege.

Ließ Dir den Code mal durch. Der ruft nur mein Backend auf. Wenn Du noch Daten auf festnetz.cool siehst, dann mach mal einen hard reload 😅, dann siehst Du da einen Link zum Artikel in dem alles erklärt wird. 

Also nein, es wurde keine offene Lücke veröffentlicht. Und diese war auch nicht aus ein bisschen JS, welches meine eigene API aufruft, extrahierbar.

Hallo@UlrichZ 👋

UlrichZ

Fortran-Progammierung auf Lochkarten mit meterweise Papierprotokollen und 8080-Assembler in

Mega!😍

--

Cu

Chris

Oh shit, weil ich jetzt gesagt habe, dass man IP-Adressen per WebRTC oder DNS leak herausfinden kann, wenn man sich davor nicht schützt, bekomme ich ein Berufsverbot? Puhh, na dann, willst du meine CISO-Stelle haben, du scheinst ja echt Ahnung zu haben /s

Aber ernsthaft, ihr behauptet hier, diese Dinge wären total bekannt, außer euch weiß niemand davon, es gibt keine wissenschaftliche Arbeiten die irgendwie das untermauern was ihr behauptet und dann sagst du einfach "Sorry, das ist zwar total bekannt, es gibt Fachliteratur, aber ich darf leider GAR NICHTS dazu sagen, sonst bekomme ich "Berufsverbot".  Warum genau bekommst du das Verbot nicht schon dafür, dass du das überhaupt erwähnt hast?

Und deine Buchempfehlungen sind auch albern, ich empfehle dir mal RFC 2663 u.w. durchzulesen. Vielleicht erkennst du dann, warum die IP-Adresse niemals auftauchen wird.

Ich halte dich spätestens jetzt für einen Troll, das kann man nicht ernst meinen.