Modeo und die Sicherheit

Ich habe vor kurzem einen neuen Datenvertrag abgeschlossen und der Vermittler hierbei war Modeo. Hatte ich vorher noch nix mit zu tun, aber schon von gehört. Ich gab also munter meine Daten ein wie Ausweisnummer etc. soweit so Standard. Sie wollten aber auch noch die Nummer meiner EC Karte und das Ablaufdatum haben. Meines wissens musste ich das noch nie bei einem Vertragsabschluss angeben, aber was solls.... 

Im Anschluss bekomme ich meine Vertragunterlagen zugeschickt und was wollen sie noch? Ich soll sowohl meinen Perso als auch meine EC Karte einscannen und ihnen zusammen mit dem unterschriebenen Vertrag zuschicken. Bilder oder digital unterschriebene Verträge nehmen sie nicht an. Da frage ich mich ja warum? Davon abgesehen, das man vom Perso keine Kopie machen darf (Grund: Auf dem neuen Personalausweis ist die Berechtigungs-Nummer abgedruckt. Diese soll grundsätzlich nur dem Ausweisinhaber bekannt sein, könnte durch Kopieren des Ausweises aber in Umlauf geraten.), ich kann sowohl an Scan als auch an dem digital unterschriebenen Vertrag rumfuschen. Es macht also keinen Unterschied. Auf Sicherheit legen die da eh keinen Wert, denn was sehen meine Äuglein mitten im Vertrag? Da stehen doch glatt der User und mein Passwort für das Modeoportal im Klartext drin!!! Da hat wohl der Sicherheitschef geschlafen oder ist einfach nicht vorhanden..... Ein Haufen Pfeifen der Laden...

 

Der Kundenservice ist übrigens ziemlich unbeeindruckt und weist die Vorwürfe von sich. Vorwürfe?! Das sind harte Fakten Modeo.....

Was für ein Haufen Deppen...... Von einem Vermittler von Verträgen erwarte ich doch deutlich höhere Standards was das Thema Datensicherheit angeht!

 

 

 

Comments

Troy Hunt hatte mal so einen wunderbaren Tweet von Tesco. Die haben die Passwörter immer nur ganz kurz entschlüsselt, wenn sie die in eine Erinnerungsemail kompiert haben. https://www.troyhunt.com/lessons-in-website-security-anti/

Das ist hier wahrscheinlich ähnlich. Die Passwörter werden sicher bombensicher verschlüsselt und nur kurz für den Vertrag entschlüsselt. Es wäre natürlich noch möglich, dass sie diese ganzen Unterlagen erzeugt haben und dann das Passwort mit einem guten Hash gewandelt haben und es in die Datenbank gespeichert haben. Somit war das Passwort dann ein paar Minuten im RAM und dann nicht mehr. Das wäre auf der Serverseite noch in Ordnung, nur dann per Post ist schon kritisch. Bei EC- oder Kreditkarten wird auch nie Nutzername und Passwort gleichzeitig verschickt.

Das mit der Unterschrift habe ich auch schon immer mal wieder erlebt. Irgendwie scheint das rechtlich eine Geschichte zu sein, die nicht wirklich klar ist. Witzigerweise ist ein Scan per Email auch mit rechtssicher, ein Fax dagegen schon. Das verstehe ich auch nicht. Aber das hat mit Technik ja nichts mehr zu tun, da gilt einfach das, was im Gesetz steht.

Bezüglich der Kopie vom Personalausweiß könnte man sogar klagen, wenn das nicht gerechtfertigt ist. Da gibt es wohl auch einigermaßen hohe Strafen, nur müsste man eben den ganzen Aufwand auf sich nehmen und klagen.

"Es wäre natürlich noch möglich, dass sie diese ganzen Unterlagen erzeugt haben und dann das Passwort mit einem guten Hash gewandelt haben und es in die Datenbank gespeichert haben." Als ob :D

Kann es sein, dass du dasselbe Kennwort und dieselbe E-Mail Adresse für den Vertrag angegeben hast, wie für die Registrierung bei modeo?
Dann wäre es logisch, dass du auf dem Vertrag auch deine Zugangsdaten für das modeo Portal siehst.

Fitz

Selbst, wenn das so wäre, dann bliebe die Argumentation die selbe. Passwörter kommen nicht per Klartext irgendwo hin.

Naja, ich sehe das nicht so tragisch wie du.

Ich kenne Vermittler wie modeo und jeder arbeitet so oder so ähnlich. Das Kennwort welches du auf dem Vertrag vorfindest ist für die Identifikation an der Kundenhotline des Vertrags-Anbieter. Dieses Kennwort ist mehr ein Initialkennwort und das sollte jeder sowieso ab und zu mal ändern. Aber viele Vertrags-Anbieter legen noch nicht mal Wert auf ein solches Kennwort, da reicht dein Name und dein Geburtsdatum aus um an deinem Vertrag rum zu fuschen.

Kopie des Personalausweis ist gesetzlich seit 2011 erlaubt, Scans/Digitalbilder aber nicht. Da modeo nur Vermittler ist, werden sie deinen Vertrag an den Vertrags-Anbieter weiterleiten müssen und der wird sich selbst von deiner Identität überzeugen wollen. Dasselbe Spiel für die Bankverbindung.
Übrigens, egal welcher Handyvertrag (MediaMarkt, Saturn, etc.), überall musste ich eine Kopie meines Personalausweises/Bankkarte machen müssen und die Daten dazu habe ich im Vertrag im Klartext gesehen.

Laut dem Bestellablauf von modeo ist die Abfrage der EC-Karte nur dazu da, die Aktivierungschance deines Vertrags zu erhöhen. Finde ich gut, keine Ahnung was du daran schlecht findest. Ich habe lieber eine Aktivierung als eine Ablehnung.

Also, ich kann dich da nicht verstehen. Alles gängige Praxis und meines Erachtens völlig legitim.

Fitz

Uhhhh sie sind besser als noch schlechtere.... Tolles Argument... Es sind schon so viele Passwörter abgefischt worden, da macht man sowas einfach nicht und vor allem habe ich das nicht mal gebraucht. Habe bei Mobilcom anrufen und keiner hat mich danach gefragt...

Die wollten einen Scan des Personalausweises, was auch sonst. Kopie geht ja schlecht per Internet...

Und was für Infos können die dann über meine EC Karte rausfinden? Ich hab schon zig Verträge abgeschlossen und bin immer genommen worden und nie hat einer ne EC Karten Info gewollt. Macht mich daher skeptisch. Es gilt immer noch das Gebot der Datensparsamkeit!

Wegen Passwort... siehst du, die (mobilcom-debitel, nicht modeo) fordern ein Kennwort für die Aktivierung damit du in der Hotline identifizierst wird, aber die Hotline von mobilcom-debitel will keines von dir. Da arbeiten die doch bei mobilcom-debitel nicht richtig, oder? :-D

Wegen EC-Karte... Legitimation deines Bankkontos vielleicht? Ob dein Bankkonto auch vorhanden ist? Check ob dein Bankkonto in der Kreide steht? Kurzabfragen bei der Bank sind möglich, es muss nicht nur die Schufa abgefragt werden. Das ist eine Standardabfrage, also gilt sie für jeden Kunden, egal ob schlechte oder gute Schufa. Also breche das nicht nur auf dich runter, betrachte die Datenabfragen für alle Kunden.

Erkläre mir deine angemeckerten Punkte mal aus gesetzlicher Sicht mit korrekter Beweislegung und nicht mit emotionalen "Buuuh - It's not good"-Gehuste.
Wenn du das nicht 100% kannst oder nicht weißt warum der Shop das macht, dann solltest du mit der Bewertung des Shops vorsichtig sein. Sowas kann dir trotz freier Meinungsäußerung schnell als Rufmord ausgelegt werden.

Fitz

Das die bei Mobilcom nicht richtig arbeiten, hat doch nix damit zu tun, das Modeo auch Scheiße ist und darum geht es ja.....

Legitimation meines Bankkontos? Und deshalb macht das kein Onlineshop? Ich glaube du hast auch keine Ahnung ^^ Ich halte es wie gesagt für unnötig und finde auch nix gescheites dazu im Internet und daher lehne ich es erstmal ab. 

Ich breche das nicht auf mich runter, das ist meine Erfahrung und ich weiß natürlich, das bei alles der gleiche Kram abgefragt wird und das macht es jetzt nicht besser! Ich weiß überhaupt nicht wohin diese Argumentation von dir führen soll.......

Ach und jede subjektive Amazonbewertung ist dann auch schnell als Rufmord ausgelegt? Was ein Bullshit, du hast mal keine Ahnung (https://de.wikipedia.org/wiki/Rufmord)

"das Aufstellen ehrverletzender Behauptungen über eine Person, obwohl bekannt ist, dass sie unwahr sind, siehe VerleumdungAlles was ich schreibe sind Fakten.....

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
Fill in the blank.