crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
Hallo,
Hier kann offenbar der eigene Anschluss mit allen möglichen Daten identifiziert werden: https://festnetz.cool/
Soll das so sein? Was ist diese "Permanent ID"? Warum können Webseiten erkennen, welche Vorwahl mein Anschluss hat und was für ein Tarif gebucht wurde?
Gelöst! Gehe zu Lösung.
19.07.2024 05:38 Zuletzt bearbeitet: 19.07.2024 05:43 durch den Autor
Pressemitteilung Telekom vom 15.7.2024
https://www.telekom.com/de/konzern/datenschutz-und-sicherheit/news/stellungnahme-datenschutz-1070452
15.07.2024 21:34 Zuletzt bearbeitet: 15.07.2024 21:34 durch den Autor
@D300 schrieb:und jetzt so nen problem und kein workaround bisher?
Man wird es schon verkraften wenn es n bissl dauert bis zum Workaround.
Du schreibst so wie wenn das „Problem“ schon seit Wochen besteht ![]()
15.07.2024 21:34
@D300 schrieb:ich war heute über ne stunde in konversationen mit dem Telekom-service und keiner wusste was ne leitungs-ID überhaupt ist . WTF - Germany ?!?!?
An der Telekom Hotline gibt es keine Techniker. Sondern ungelernte Call-Center-Agents. Du bekommst nur als Business-Kunde jemand kompetentes ans Telefon.
Bei technischen Fragen immer ans Telekom Hilft Team wenden. Bedeutet, hier nach den Teamies fragen oder über Twitter um Rückruf bitten.
Haben Sie eine passende Antwort erhalten?
Unsere Community lebt davon, dass hilfreiche Antworten als Lösung akzeptiert werden. Sie haben auch die Möglichkeit, sich in Form von "Kudos" bei dem Antwortgeber zu bedanken. Hierzu klicken Sie einfach auf den Daumen unter dem Beitrag. Es ist eine Art der Wertschätzung für einen werthaltigen oder sympathischen Beitrag.
Was soll die blöde Frage per Mail? Nein, ich habe keine passende Antwort erhalten. Die Telekom hat sich hier bisher mit keinem Wort geäußert.
16.07.2024 06:07
Das Problem besteht schon deutlich länger, ist aber jetzt erst öffentlich geworden.
Und man muss, mit Verlaub, schon sagen, dass es wirklich nur aufgrund der sehr stümperhaften Security möglich war.
Ich meine, man konnte bei Anschluss-Info einfach eine fremde IP-Adresse im Header mitgeben und hat die Daten bekommen, wtf.
Das *muss* irgendjemandem vorher auffallen, dass man das nicht so machen kann.
16.07.2024 06:12 Zuletzt bearbeitet: 16.07.2024 06:12 durch den Autor
@MM423 schrieb:Das Problem besteht schon deutlich länger, ist aber jetzt erst öffentlich geworden.
Bedeutet du hast es schon vor längerer Zeit beim Responsible Disclosure Programm der Telekom gemeldet?
16.07.2024 06:22 Zuletzt bearbeitet: 16.07.2024 06:34 durch den Autor
Natürlich nicht, ich würde auch jedem Menschen dringend davon abraten, vor allem als Deutsche:r oder in Deutschland lebend so etwas zu machen. Wobei man da generell sehr genau prüfen sollte, denn die entsprechen Verträge sind oft extrem nachteilig.
In Deutschland hat man schneller ein Verfahren nach § 202a-c StGB am Hals als man überhaupt Responsible Disclosure sagen kann, hatte Lilith ja auch schon. Hört man durchaus auch in der Öffentlichkeit immer wieder von bei großen Sachen, aber von solchen Verfahren gibt es weit mehr und die Kosten im besten Fall nerven und jede Menge Geld und im schlechtesten Fall noch mehr Geld oder geben sogar eine Freiheitsstrafe.
Deswegen empfiehlt sogar das Innenministerium anonyme Meldemöglichkeiten, damit sich überhaupt jemand meldet:
https://www.digitale-verwaltung.de/SharedDocs/downloads/Webs/DV/DE/OZG-Security-Challenge/responsibl...
PS: Spannend auch, die Lücke wäre überhaupt nicht für das Bug Bounty zugelassen:
Relevant für das Bug-Bounty-Programm der Deutschen Telekom AG sind Schwachstellen in Domains und Subdomains auf *.telekom.de, *.telekom.net, *.telekom.com und *.t-systems.com.
Und als ehemaliger Mitarbeiter darf ich eh nicht teilnehmen:
Nicht mitmachen dürfen lediglich aktuelle und ehemalige Mitarbeiterinnen und Mitarbeiter der Deutschen Telekom AG und ihnen verbundenen Unternehmen sowie deren Angehörige oder ihre gesetzlichen Vertreter.
Und die Telekom sagt einem sogar zu, dass man angezeigt wird, da man, wie in diesem Fall, immer irgendwelche Daten ausgespäht/heruntergeladen hat:
Im Rahmen eurer Untersuchungen seid ihr vorsichtig mit dem geprüften Dienst umgegangen und habt seine Verfügbarkeit nicht eingeschränkt. Ihr habt weder Daten ausgespäht, noch verändert, heruntergeladen, gelöscht oder weitergegeben. Tut ihr es doch, können wir durch geltendes Recht gezwungen sein, dies bei Behörden anzuzeigen. Das wollt ihr nicht – wir auch nicht.
Das "Problem" bzw. Die Möglichkeit bestand wohl seit es anschlussinfo.de gab, die Tarifdetails wohl seit es automatisch über Breitbandmessung ausgelesen werden konnte
das ist mir klar, finde es nur lustig wenn dann hinterher die Leute kommen nach dem Motto "ich wusste es schon lange..."
16.07.2024 07:24
Naja, damit fängt ja die "Pressemitteilung" von Lilith Littmann an, ist jetzt kein großes Geheimnis ![]()
"Die Deutsche Telekom bietet seit vielen Jahren B2B-Dienstleistungen um Nutzer*innen auch mit wechselnden IPs tracken zu können."
16.07.2024 08:11
Du solltest echt an deinem Leseverständnis arbeiten, wenn du aus "Das Problem besteht schon deutlich länger, ist aber jetzt erst öffentlich geworden" herausliest, dass ich das gewusst haben will. Das bedeutet es offensichtlich nämlich nicht und ich würde das aus rein rechtlichen Gründen überhaupt nicht öffentlich kundtun.
16.07.2024 08:17
@MM423 schrieb:Du solltest echt an deinem Leseverständnis arbeiten,
oder du an deinem Schreibstil, aus dem Kontext ergibt sich durchaus meine Auslegung.
16.07.2024 08:20
Blödsinn.
@MM423 schrieb:In Deutschland hat man schneller ein Verfahren nach § 202a-c StGB am Hals als man überhaupt Responsible Disclosure sagen kann, hatte Lilith ja auch schon.
Wenn man eine Schwachstelle meldet, wird man nicht angezeigt.
Sonst wäre ich schon längst im Gefängnis.
Also lass bitte deine Märchenstunde.
Jetzt wo es öffentlich geworden ist, muss man sich jetzt nicht aufspielen.
16.07.2024 08:22
Klar, wenn eine Zeitung schreibt "Anfang des Monats starb er im Alter von 88 Jahren, wie jetzt öffentlich wurde." wie es in diesem Beispiel das Handelsblatt macht, dann bedeutet das in deiner Logik also, das Handelsblatt hat es die ganze Zeit gewusst. Alles klar.
16.07.2024 08:25 Zuletzt bearbeitet: 16.07.2024 08:29 durch den Autor
Achso, okay, ich hab im Bekanntenkreis einige, die eine Strafanzeige erhalten haben, ein Teil davon wurde sogar verurteilt. Aber die haben sich das nur eingebildet. Und das Innenministerium bildet sich das auch nur ein. Und die Telekom schreibt es doch sogar, dass man angezeigt wird, bzw. angezeigt werden muss, also warum genau machen die das dann nicht?
Man wird ja auch nicht für das Melden der Lücke angezeigt bzw. hat ein Verfahren am Hals, sondern für das Entdecken der Lücke.
Und das ist auch bekannt und im Koalitionsvertrag ist sogar vereinbart, dass man dies verhindern möchte.
Nur mal zwei öffentliche Bespiele:
https://www.golem.de/news/moegliche-schwachstelle-entdeckt-ploetzlich-zeuge-2405-184871.html
Siehe auch:
https://netzpolitik.org/2022/hackerparagrafen-sicherheit-fuer-die-sicherheitsforschung/
16.07.2024 09:51
Wenn man die Lücke nutzt ist man dran. Aber nicht für das entdecken.
Und ließ dir mal die Artikel genau durch, dann weißt du warum es zu dem Anzeigen kam.
Und der Student war Zeuge.
Die anderen verwendeten spezielle Software.
Ich sage ja, ich hatte bisher keine Anzeige bekommen, aber dafür Dankesbekundungen.
Daher immer beachten, wie es entdeckt wurde.
Da gibt es Unterschiede.
Hallo Zusammen,
anbei ein Interessanter Bericht vom Deutschlandfunk Nova:
--
Cu
Chris
19.07.2024 05:38 Zuletzt bearbeitet: 19.07.2024 05:43 durch den Autor
Pressemitteilung Telekom vom 15.7.2024
https://www.telekom.com/de/konzern/datenschutz-und-sicherheit/news/stellungnahme-datenschutz-1070452
Soso.
"Die Deutsche Telekom hat einen entsprechenden Datenschutz-Fall heute dem Bundesdatenschutzbeauftragen gemeldet."
Wurden die betroffenen Kunden informiert, so wie es Art. 34 DSGVO vorschreibt?
Da die Meldung an den Bundesdatenschutzbeauftragten nicht veröffentlich wurde, habe ich diese nun angefordert.
https://fragdenstaat.de/anfrage/offenlegung-der-meldung-des-datenschutz-vorfalls-bei-der-deutschen-t...
19.07.2024 06:48
@CptCpt schrieb:Wurden die betroffenen Kunden informiert, so wie es Art. 34 DSGVO vorschreibt?
Gemäß Lesart Telekom waren ja keine personenbezogen Daten betroffen, also ist auch keine Meldung nötig.
Möglicherweise kommt die Benachrichtigung auch noch, da die an alle Kunden erfolgen müsste kommt da vielleicht mit der nächsten Rechnung ein Hinweis, wer weiß.
19.07.2024 06:55
@der_Lutz schrieb:Gemäß Lesart Telekom waren ja keine personenbezogen Daten betroffen, also ist auch keine Meldung nötig.
Natürlich sagt die Telekom das. Denn sonst könnten betroffene Kunden ja Schadenersatzansprüche nach Art. 82 DSGVO geltend machen. Wir werden sehen, mit welcher Begründung betroffene Kunden nicht informiert wurden.
19.07.2024 07:01
Naja, den Schaden muss man auch erstmal nachweisen.
Wenn die Telekom meint es waren keine personenbezogenen Daten betroffen ist genau das die Begründung warum keine Information erfolgt.
So lese ich das.
19.07.2024 07:07
Naja, da steht bewusst keine "konkreten personenbezogenen Daten". Rein rechtlich ist das deutlich komplizierter, denn es kann sich sehr wohl um relativen Personenbezug handeln (alleine aus der Leitungsnummer) und der wäre nach der EuGH Entscheidung vom 19.10.2016 (Az.: C-582/14) definitiv gegeben und auch nach der aktuellen Entscheidung vom 9. November 2023 (Az.: C-319/22) ist er zumindest denkbar.
Danke auf jeden Fall an @CptCpt für die Anfrage bei FdS.
19.07.2024 07:27
natürlich ist das alles komplizierter, ich habe lediglich eine Möglichkeit erwähnt warum keine Benachrichtigung erfolgt(e).
Ob das alles korrekt lief und das Thema damit schon erledigt ist werden sicher noch andere klären.
19.07.2024 08:38
Wie weit soll dieser Thread noch aufgebauscht werden?
Wir sind hier garantiert keine Anwälte um alles zu beurteilen.
Nur hat sich bei mir diese P-iD geändert, als ich einen anderen Browser genutzt hatte.
Wo sich somit die Aussage der Telekom Meldung in meinen Augen bestätigt.
Lasst die Experten da arbeiten und wartet ab, ob es was "harmloses" war oder es da wirklich "Entschädigungen" geben kann.
Und mal so nebenbei, hatte ich ja schon erwähnt das man trotz VPN eure echte IP sehen kann (Tor ausgeschlossen).
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Informieren Sie sich über unsere aktuellen Internet-Angebote.