EMail von WISO mit Passwort im Klartext erhalten

So langsam schließt sich der Kreis...

Vor einigen Wochen schon erhielt meine Frau eine Mail von Click&Buy, ihr Konto sei aufgrund eines möglicherweise illegalen Zugriffs gesperrt wurden. Da sie den Account bis dato eh nur ein einziges Mal für irgendwas gebraucht hatte, daher keinen Bedarf mehr dran hatte und man zudem eine 01805er Nummer anrufen sollte, ließen wir das einfach links liegen.

Heute nun die Meldung, dass sich die Hacker, die die Daten bei PwC geklaut hatten, bei Moneybookers und eben bei Click&Buy versuchten einzuloggen. Klick!

Jetzt stellen sich mir zwei Fragen:

1. Wie haben die bei Click&Buy damals gemerkt, dass es sich um einen illegalen Zugriff handelte? Es lag damals keinerlei nicht autorisierte Transaktion vor, als diese Mail kam. Auch deswegen kümmerten wir uns da nicht weiter drum, weil überhaupt kein Problem zu sehen war. Die Hacker waren ja aber im Besitz der EMail-Adresse und des korrekten Passworts und haben ergo ja offenbar auch versucht, eine Transaktion zu tätigen. Irgendwie muss Click&Buy das ja aber gemerkt haben. Wie?

2. Angenommen, sie hätten es nicht gemerkt, und es wäre tatsächlich eine Transaktion erfolgt: Wer wäre eigentlich in der Beweispflicht gewesen? Hätte meine Frau beweisen müssen, dass sie ihr Passwort nicht wissentlich an jemanden rausgegeben hat und es auch nicht durch eine Phishingattacke o.ä. von ihrem eigenen Rechner geklaut worden sein kann, oder hätte Click&Buy umgekehrt beweisen müssen, dass genau dies der Fall war? Jetzt im Nachhinein ist ja nun klar, dass der einzige Vorwurf, den man meiner Frau (und allen anderen Betroffenen) machen kann, darin besteht, dass sie ein und dasselbe Passwort für verschiedene Dinge nutzen. Aber das allein ist sicherlich nicht fahrlässig, schon gar nicht, wenn es sich nicht um ein Passwort handelt, welches durch simples Raten oder Wörterbuchattaken kompromittierbar war.

Dieses Desaster hier zeigt auf jeden Fall, dass es völlig unangemessen wäre, wenn die Beweislast in solchen Fällen beim Verbraucher liegt. Dass ich ein, im besten Falle zufallsgeneriertes und somit definitiv nicht erratbares, Passwort für die Verwendung bei mehreren Diensten/Webseiten verwende, ist absolut legitim. Ich hätte als Verbraucher damals keinerlei Möglichkeiten gehabt, zu beweisen, dass die Täter mein Passwort bei irgendeinem anderen Dienstanbieter im Web abgefischt haben müssen. Wie wir heute wissen, war genau das der Fall.

Zitat

Original geschrieben von Quindan
Ich nehme an: über die IP-Adresse oder es wurde sich beim eingeben des PW vertippt.

Die kennen ja meine IP-Adresse nicht, und ich kann ja auch sonstwo auf der Welt sein und mich einloggen. Und beim Passwort vertippe ich mich auch mal. Das alleine kanns IMHO nicht sein.

Eher denkbar wäre, dass möglicherweise zu einer bestimmten Zeit gehäuft Transaktionen von verschiedensten C&B-Kunden an ein und dasselbe Konto erfolgten. Vielleicht war das ja auffällig.

Zitat

Ohne es juristisch zu wissen - wohl aber als gebranntes Kind: Ja, sie muß es nachweisen, denn es ging ja von ihrem Account/Konto aus.

Das ist aber schon sehr übel. Und ehrlich gesagt kann ich es auch noch nicht so wirklich glauben. Wenn hier wirklich jemand geschädigt worden wäre (was ja vielleicht auch passiert ist), könnte sich derjenige welche jetzt an PwC schadlos halten. Auf jeden Fall sollte man in Zukunft ja durchaus unter Verweis auf diesen Fall hier in der Lage sein, die eventuelle Behauptung der Gegenseite, das Passwort könne auf jeden Fall nur durch eigenes Verschulden geklaut worden sein, argumentativ gegenhalten können. Wie dies vor Gericht bewertet werden würde, müsste dann die Zukunft zeigen.

Stimmt, das wiederum ist natürlich denkbar.

Es kann aber ebenso gut sein, dass das damals eben alles genau diese Fälle hier waren, also Leute, deren Daten bei denen von PwC geklauten Daten dabeiwaren.