- Anzeige -

Kabel-BW Hack der Kundendatenbank?

In dieses Forum kommen Themen über Unitymedia hinein, die nicht in andere Foren passen.

Kabel-BW Hack der Kundendatenbank?

Beitragvon Krischan » 23.07.2014, 20:36

Vor ein paar Minuten habe ich eine vermutliche Phishing-Mail erhalten, die meinen Vor- und Nachnamen enthielt, und versucht auf folgenden Domains meine Logindaten abzugreifen:

kabelbw-news.de
und
umkbw-info.de

Die Domains sind seit dem 24.04.14 auf folgende Firma in Frankfurt registriert:

Domaininhaber: Publicare Marketing Communications GmbH
Adresse: Städelstraße 10
PLZ: 60596
Ort: Frankfurt am Main
Land: DE

Laut Kabel-BW Hotline besteht aber keinerlei Verbindung zu dieser Firma, und meine Rechnungen habe ich bis dato auch immer als PDF von Rechnung@kabelbw.de erhalten und musste diese nie "abholen" auf einer Website.

Woher hat der Laden Publicare Marketing Communications GmbH meine Daten wie Mailadresse, Vor- und Nachname und weiß daß ich Kabel-BW Kunde bin? Wenn man die Domains ohne den personalisierten Link aufruft, kommt nur ein 404 Fehler.


hier mal die Mail im originalen Wortlaut (ohne HTML):


Betreff: Vorname Nachname: Ihre Online-Rechnung von Kabel BW
Datum: Wed, 23 Jul 2014 16:43:32 +0200
Von: Kabel BW - Rechnung <online-rechnung@kabelbw-news.de>
An: meine Mailadresse



Kabel BW

Damit diese Nachricht zuverlässig in Ihrem Posteingang ankommt, fügen
Sie den Absender online-rechnung@kabelbw-news.de Ihrem Adressbuch hinzu.

Online-Version
<http://www.umkbw-info.de/u/gm.php?UID=4iUmzfL7IS&ID=112913542_623580_3873>




Ihre aktuelle Rechnung ist abrufbar.



Sehr geehrter Herr Nachname,

Ihre aktuelle Rechnung steht für Sie ab sofort online im Kundencenter
zur Verfügung. Dort finden Sie auch die Rechnungen der vergangenen 12
Monate. Bei erteiltem SEPA-Lastschriftmandat erfolgt die Abbuchung wie
vereinbart.




Jetzt einloggen und Rechnung abrufen >
<http://www.umkbw-info.de/u/nrd.php?p=4iUmzfL7IS_3873_623580_33_18>

Sie haben sich noch nicht für das Online-Kundencenter registriert?

Hier geht's zur Registrierung >
<http://www.umkbw-info.de/u/nrd.php?p=4iUmzfL7IS_3873_623580_33_19>

Sie haben Fragen zu Ihrer Rechnung?

Hier finden Sie alles Wissenswerte rund um Ihre Rechnung >
<http://www.umkbw-info.de/u/nrd.php?p=4iUmzfL7IS_3873_623580_33_23>

Wir wünschen Ihnen weiterhin viel Spaß mit unseren Produkten.

Mit freundlichen Grüßen

Ihr Kabel BW Team

Kabel BW verwendet Ihre E-Mail-Adresse zur Benachrichtigung über die
Bereitstellung Ihrer Online-Rechnung. Bitte antworten Sie nicht auf
diese automatisch erstellte Benachrichtigungs-E-Mail und nutzen Sie zur
Kontaktaufnahme einfach unser Online-Formular
<http://www.umkbw-info.de/u/nrd.php?p=4iUmzfL7IS_3873_623580_33_21>.

Sie können uns wie folgt erreichen:

*Direkt Online*
Ihr Kontakt zu Kabel BW >
<http://www.umkbw-info.de/u/nrd.php?p=4iUmzfL7IS_3873_623580_33_22>

*Service-Hotline*
Bei Fragen erreichen Sie uns unter 0711 / 548 881 50.
Mo-Fr von 8-22 Uhr & Sa von 8-20 Uhr.


*Hausanschrift:*
Kabel BW GmbH
Im Breitspiel 2-4
69­126 Heidelberg

*Postanschrift:*
Kabel BW GmbH
Postfach 9­0 0­1 3­1
75­090 Pforzheim *Handelsregister:*
Amtsgericht Mannheim
HRB 702­325
USt.-IdNr. DE 251­338­951

Sitz der Gesellschaft:
Heidelberg

*Geschäftsführer:*
Lutz Schüler (Vorsitzender)
Dr. Herbert Leifker
Frank Meywerk
Winfried Rapp
Impressum > <http://www.kabelbw.de/footer/left/impressum/>
Datenschutz > <http://origin.www.kabelbw.de/footer/left/datenschutz/>
AGB >
<http://www.kabelbw.de/content/dam/kabelbw-de/pdf/rechtliches/kabel-bw-agb.pdf>

http://www.kabelbw.de > <http://www.kabelbw.de>

kabel bw <http://www.kabelbw.de>
Krischan
Kabelneuling
 
Beiträge: 4
Registriert: 23.07.2014, 20:28

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon Krischan » 23.07.2014, 21:06

Hat ein anderer auch die Mail bekommen, oder war nur ich betroffen?
Krischan
Kabelneuling
 
Beiträge: 4
Registriert: 23.07.2014, 20:28

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon Wasserbanane » 23.07.2014, 23:35

Hat wahrscheinlich einfach nur den richtigen erwischt. Solche Mails gehen millionenfach raus an alle möglichen Leute. Meist sind sie von angeblichen Banken. Ich kriege auch Mails von Firmen bei denen ich nicht Kunde bin.

Ein Hack der KBW Datenbank muss nicht zwangsläufig sein. Man ist irgendwo in ner Liste gelandet und schon geht die Adresse rum. Iwo angemeldet, Häkchen falsch gesetzt, Gewinnspiel teilgenommen, etc. kann natürlich auch sein.
Das deutsche Fernsehprogramm ist das beste der Welt. Gäbe es sonst die vielen Wiederholungen? Jürgen von der Lippe

Unitymedia 3-Play 150.000 Digital-Allstars + HD, Horizon HD-Recorder
Wasserbanane
Glasfaserstrecke
 
Beiträge: 1312
Registriert: 08.12.2012, 17:09
Wohnort: Wiesbaden, Hessen

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon D.Krueger » 24.07.2014, 10:17

Ich habe die gleiche Mail erhalten. Gleiche persönliche Daten waren dabei: Mailadresse, Vorname, Nachname. Mich hat sie erreicht am 24.07.2014 um 03:41.
D.Krueger
Kabelneuling
 
Beiträge: 2
Registriert: 24.07.2014, 10:12

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon Krischan » 24.07.2014, 10:58

Die Mailadresse auf der die Mail aufgelaufen ist, wird aber nur für Kabel-BW verwendet!
Nachdem ein anderer Mitforist auch betroffen ist, will ich nicht so recht an einen Zufallstreffer glauben, und das ist es ja, was mir Sorgen bereitet.
Krischan
Kabelneuling
 
Beiträge: 4
Registriert: 23.07.2014, 20:28

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon Harald_2014 » 24.07.2014, 19:26

Hallo,

Ist hier auch aufgeschlagen: Thu, 24 Jul 2014 03:41:28 +0200
Auf den ersten Blick suspekt, aber anscheinend harmlos.

Zum Vergleich mal zwei gleiche Links aus deiner Mail und der bei mir eingetroffenen:
"http://www.umkbw-info.de/u/nrd.php?p=Pm7PT4FlKf_1068_623671_33_18"
"http://www.umkbw-info.de/u/nrd.php?p=4iUmzfL7IS_3873_623580_33_18"

Der Domaininhaber, Publicare Marketing Communications GmbH ist Servicepartner der
Emarsys eMarketing Systems, Hersteller der eMarketing Suite 8.0 und auf dessen Online-Zugang landet man bei Aufruf von "http://www.umkbw-info.de"

Mein obiger Vergleichslink landet, nach Auswertung durch das php-Script, dann auf:

"https://app.kabelbw.de/kundencenter/sitzung/anmelden?cid=63118_KEM-00178&sales_id=63118"
anstatt auf:
"https://app.kabelbw.de/kundencenter/sitzung/anmelden"
über die Homepage bei Aufruf des Kundencenters.

Da werden höchstwahrscheinlich Tracking-Informationen zur weiteren Auswertung weitergeschaufelt.
Das sieht alles wie eine Fallstudie für E-Mail-Marketing im Auftrag von UMKBW aus, da nicht im eigenen Domainraum operiert wird.

Gruß.
Harald_2014
Kabelneuling
 
Beiträge: 4
Registriert: 24.07.2014, 11:09

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon D.Krueger » 25.07.2014, 13:56

Ich glaube ja eher, dass sie mit den personalisierten Links auswerten, ob der Datensatz auch stimmt. Deswegen würd ich den eigenen Link auch nicht hier posten!! Die hinteren Teile sind bei mir allerdings genau die gleichen wie bei dir, Harald_2014. Die sind sicherlich für die korrekte Weiterleitung nach der Auswertung zuständig. Damit auch niemand Verdacht schöpft. Ich wäre für eine offizielle Stellungname von KabelBW sehr dankbar ..
D.Krueger
Kabelneuling
 
Beiträge: 2
Registriert: 24.07.2014, 10:12

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon Krischan » 25.07.2014, 18:29

ich hatte in erster Linie an einen Cross Site Scripting Hack gedacht, der es ja ermöglicht unter einer anderen Domain es so aussehen zu lassen, als würde man auf der originalen Seite von KabelBW sein.

Bis dato kamen ja die Rechnungen als PDF und von einer Mailadresse mit der Domain kabelbw.de. Warum sollte man auf einmal andere Domains nehmen, und diese dann auch auf einen anderen Inhaber registrieren als KabelBW selbst?

Zudem wenn man sich das Zertifikat auf der KabelBW HTTPS Seite ankuckt, dann ist keine der neuen Domains aus der Mail gelistet! STINKT!

Die ganzen Domains sind ja NICHT Kabel BW, sondern gehören jemand anders. Warum, wenn ich sowas auswerten will, verschicke ich eine Mail von einer anderen Domain als der üblichen, fordere zum Login auf (unter einer anderen Domain) und mache das nicht unter der eigentlichen kabelbw.de Domain, oder von mir aus rechnung.kabelbw.de Subdomain?
Das ist es was mich stutzig macht, es sind einfach komplett "andere" Domains als normal, ein anderer Inhaber, und das stinkt halt nach Cross Site Scripting Hack mit dem Ziel des abfischens von Logindaten.

Warum meldet sich KabelBW nicht dazu? Ich hatte die Mail ja an KabelBW weitergeleitet, aber es kam keine Antwort? Hier liest man doch auch mit, oder?
Krischan
Kabelneuling
 
Beiträge: 4
Registriert: 23.07.2014, 20:28

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon tq1199 » 25.07.2014, 18:45

Krischan hat geschrieben:Warum meldet sich KabelBW nicht dazu?

Evtl. auch bei der abuse-mailbox anfragen. Siehe z. B. die Ausgabe von:
Code: Alles auswählen
whois $(dig +short kabelbw-news.de) | grep -i abuse
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Kabel-BW Hack der Kundendatenbank?

Beitragvon Harald_2014 » 26.07.2014, 10:33

Das Get für den Kundencenterlink:
<html><head><meta http-equiv="refresh" content="0; URL='http://scb.kabelbw.de/click?redirect_to=https://app.kabelbw.de/kundencenter/sitzung/anmelden&sales_id=63118&cid=63118_KEM-00178'"><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"><style type="text/css"> body { color: #555; font-family: Arial, Verdana, Helvetica, sans-serif; font-weight: normal; font-size: 11px; } a { color: #555; }</style></head><body>Sie werden automatisch weitergeleitet. Falls nicht, klicken Sie bitte <a id="redir" href="http://scb.kabelbw.de/click?redirect_to=https://app.kabelbw.de/kundencenter/sitzung/anmelden&sales_id=63118&cid=63118_KEM-00178">hier</a></body></html>

Also nix mit Cross Site Scripting. Bei scb.kabelbw.de gibt es nur einen Keks.
Beide Domains haben übrigens mittlerweile den Besitzer gewechselt. kabelbw-news.de gehört jetzt Domainfactory, umkbw-info.de dem Hersteller der Software, Emarsys eMarketing Systems AG in AT.
Der Zielserver, www.umkbw-info.de, steht jetzt in Österreich.

Und Adressverifikation: Wer beraubt eine Bank und kontrolliert dann jeden Schein, ob der auch echt ist?
Harald_2014
Kabelneuling
 
Beiträge: 4
Registriert: 24.07.2014, 11:09

Nächste

Zurück zu Unitymedia allgemein

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste

cron