11.12.2023 Kostenlos einen Glasfaseranschluss?

Ein undurchsichtiges Angebot

Kaum zu glauben - und auch die Verbraucherzentrale Nordrhein-Westfalen (NRW) glaubt dies nicht und der Bundesverband der Verbraucherzentralen (vzbv) hat die Firma Giga Fiber wegen undurchsichtiger AGBs abgemahnt. Giga Fiber wirbt mit dem Angebot für einen Glasfaseranschluss mit 250 MBit/s im Downstream für null Euro. Allerdings muss ein Interessent bei Abschluss des Null Euro Vertrags zustimmen, dass "wiederkehrende Zahlungen wie Miete, Nebenkosten, Strom" – aber auch Darlehenszahlungen – "über den von Giga Fiber zur Verfügung gestellten Payment-Service" abgewickelt werden, schreibt Heise.de.

Ein Payment-Service ist leider ganz was anderes als eine Lastschriftermächtigung, die allerdings bei Null Euro auch überflüssig sein sollte. In unseren Artikeln zur Einführung von PSD2 in der EU hatten wir bereits vor Unternehmen gewarnt, die damit Banken gleich gestellt werden und Einblick in unsere Bankkonten bekommen können.

Der Bundesverband der Verbraucherzentralen (vzbv) hat die Firma wegen Irreführung abgemahnt und mehrere Punkte genannt:

• Giga Fiber gibt weder auf der eigenen Webseite noch in der App den konkreten Zahlungsdienstleister und dessen Anschrift an.
• Banken werden von der Bundesanstalt für Finanzdienstaufsicht (BaFin) überwacht, für Giga Fiber gelte dies nicht.
• Die Vertragsbedingung, nach der Nutzer zur Erstattung von Kosten für den Hausanschluss verpflichtet werden, wenn sie während der Mindestvertragslaufzeit gegen nicht genau erläuterte Pflichten verstoßen, wurde abgemahnt.

Heise.de befürchtet, dass Giga Fiber generell eher ein Vermittler und kein tatsächlicher Telekommunikationsanbieter oder Finanzdienstleister zu sein scheint. Dann würde der Zugang zum Netz über Provider wie Telekom, Vodafone oder 1&1 bereitgestellt werden, "die man dann nehmen müsste", ohne diese Wahl ablehnen zu können.

Mehr dazu bei https://www.heise.de/news/Kostenlose-Glasfaser-Verbraucherschuetzer-mahnen-Giga-Fiber-ab-9569832.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3xN
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8615-20231211-kostenlos-einen-glasfaseranschluss.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8615-20231211-kostenlos-einen-glasfaseranschluss.html
Tags: #GigaFiber #Glasfaseranschluss #Transparenz #Informationsfreiheit #Anonym #Abmahnung #Verbraucherzentralen #vzbv #Kontozugriff #AGB #PSD2 #EU #kostenlos #Lastschrift #Telecash

23.07.2023 Schufa verspielt weiter Vertrauen

Bonify/Schufa App gibt persönliche Daten weiter

Entgegen der seit Jahren geltenden DSGVO geben Unternehmen immer noch persönliche Daten ohne Einwilligung der Betroffenen weiter. Mike Kuketz zeigt dafür ein weiteres Beispiel, die App Bonify der Forteil GmbH/SCHUFA Holding AG. Die Schufa ist uns mit ihrem datenhungrigen Verhalten schon 20-mal unangenehm aufgefallen.

Die krassesten Fälle waren

• Schufa-Scoring oft fehlerhaft - wir fordern Regulierung https://www.aktion-freiheitstattangst.org/de/articles/513-20090819-schufa-scoring-oft-fehlerhaft-wir-fordern-regulierung.html
• "Schnüffel-Schufa" und Facebook https://www.aktion-freiheitstattangst.org/de/articles/2943-20120608-schnueffel-schufa-und-facebook.html
• Schufa will uns aufs Konto schauen https://www.aktion-freiheitstattangst.org/de/articles/7465-20201127-schufa-will-uns-aufs-konto-schauen.html
• Schufa muss Daten schneller löschen https://www.aktion-freiheitstattangst.org/de/articles/8318-20230227-schufa-muss-daten-schneller-loeschen.html

An das 2. Beispiel erinnert nun auch dieser Fall. Mike Kuketz stellt in der Analyse der oben genannten Bonify App fest:

• Bevor der Nutzer seine ausdrückliche, informierte, freiwillige und aktive Einwilligung entsprechend der in der EU gültigen DSGVO gegeben hat, öffnet die App eine Verbindung zu Google Firebase in den USA. Diese Übermittlung von Gerätedaten ist nach § 25 Abs. 1 TTDSG unzulässig.
• Dann werden einige Verbindungen zu Facebook (USA) geöffnet. Dabei wird das Gerätemodell und auch die Google Advertising-ID übertragen. Damit kann auch Facebook nun eine Verbindung zwischen dem Facebook-Nutzer und den übermittelten Daten herstellen. Nach DSGVO handelt es sich bei der Google-Advertising-ID um ein personenbeziehbares Datum, welches hier ohne Abfrage einer Einwilligung weitergegeben wird.
• Weiter fließen dann noch Daten an Blueshift (San Francisco, USA), einem Unternehmen für Marketing, das bspw. misst, auf welchem Weg Kunden effektiv angesprochen werden können.
• Weitere Verbindungen bestehen zur Adjust GmbH (Hauptfirmensitz San Francisco, USA), einem Unternehmen, das sich auf das Tracking und die Analyse von Nutzern innerhalb von Apps spezialisiert hat.
• Weiter fließen dann noch Daten an Twilio/Segment (San Francisco, USA), einem Unternehmen für Marketing.

Mike Kuketzt prüft dann, ob der Nutzer der App vielleicht in den Datenschutzhinweisen der App auf dieses Verhalten hingewiesen wird. Im Gegenteil versichert Bonify: "... Die Verarbeitung Ihrer personenbezogenen Daten geschieht unter Beachtung der geltenden datenschutzrechtlichen Vorschriften, insbesondere der europäischen Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). ..."

Dabei hat die App bereits viele persönliche Daten weitergegeben, bevor der Nutzer überhaupt nach eine Einwilligung gefragt wird. Die technischen Einzelheiten sind im Kuketz-Blog ausführlich dargestellt.

Weiterhin läuft seit Jahresbeginn eine Unterschriftensammlung von Campact gegen den Versuch der Schufa direkten Zugriff auf unsere Konten zu bekommen. Unterschreiben!

Mehr dazu bei https://www.kuketz-blog.de/schufa-bonify-uebermittelt-ohne-einwilligung-personenbeziehbare-daten-an-facebook-und-co/
und Petition von Campact unschreiben bei https://aktion.campact.de/datenschutz/schufa-bonify/teilnehmen
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vg
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8468-20230723-schufa-verspielt-weiter-vertrauen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8468-20230723-schufa-verspielt-weiter-vertrauen.html
Tags: #PSD2 #Petition #Campact #Schufa #Selbstauskunft #Kreditwuerdigkeit #Diskriminierung #Ungleichbehandlung # #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Scoring #Bankdaten #Kontozugriff #Persoenlichkeitsrecht #Privatsphaere #BonifyApp

10.05.2023 Die Zwei-Faktor-Authentifizierung aushebeln

Schwachstelle Mensch

Jahrelang wurde uns versichert, dass wir mit einer Zwei-Faktor-Authentifizierung (2FA) sicher(er) seien. Allen voran die Banken haben solche Verfahren einführen müssen. Mit der EU Banken-Richtlinie PSD2 wurden sie Standard. Bereits damals hatten wir kritisiert, das das sinnvolle Verfahren durch die Abschaffung des "2. Wegs" wieder amputiert wird. So waren für die 2. Authentifizierung anfangs SMS o.ä. üblich, inzwischen laufen oft beide Wege wieder über ein Gerät - meist das Smartphone.

Nun hat sich herausgestellt, dass beim Kampf der Cybersicherheit gegen die Hacker letztere am Aufholen sind. In 2 Artikeln beschreibt Heise.de die Vorgehensweise der Hacker. Eigentlich ist alles beim alten geblieben - beim Pishing - nur der Aufwand, den die Hacker betreiben müssen, ist größer geworden.

Social Engineering statt neuer Technik

Weiterhin ist die Taktik der Hacker das Opfer solange zu verwirren, bis es Fehler macht. Die Tricks sind

• dein Handy braucht ein Update,
• dein Handy ist defekt,
• ein Systemfehler ist aufgetreten, drücken Sie hier oder da,
• u.v.m. ...

MFA-Fatigue-Angriff

Deshalb kommt ein MFA-Fatigue Angriff meist abends oder am Wochenende, wenn man ermüdet ist und eine technische Hilfe oder KollegInnen nicht erreichbar sind. Dann wird man mit "unlogischem Verhalten" der Technik verwirrt, solange bis man seine Passworte an der falschen Stelle eingibt. Eigentlich dürfte man das nicht tun, schreibt PCspezialist.de, denn:

Eine Authentifizierungsanfrage wird nur dann abgesendet, wenn Sie zuvor das korrekte Passwort in ein System eingegeben haben. Denn genau das ist ja der Sinn der Multi-Faktor-Authentifizierung – der zusätzliche Schutz durch eine zusätzliche Sicherheitsabfrage.

Ein Einmal-Passwort (OTP) kann also vom System nie verlangt, werden, wenn man sich nicht vorher dort einloggen wollte. Passiert dies doch, so ist es mit Sicherheit ein Cyberangriff. Die Angreifer versuchen ihre Opfer jedoch durch wiederholte Abfragen und/oder Abweisungen "des Systems" zu verwirren. So eine Abfrage kann auch ein Anruf "einer technischen Abteilung" sein, die einen angeblichen "Systemfehler" zurücksetzen müsse. Die Schwachstelle der Zwei-Faktor-Authentifizierung (2FA) bleibt der Mensch.

Mehr dazu bei https://www.heise.de/ratgeber/Ausprobiert-Phishing-trotz-Zwei-Faktor-Authentifizierung-8981919.html
und https://www.heise.de/ratgeber/IT-Security-Wie-Angreifer-die-Zwei-Faktor-Authentifizierung-aushebeln-8973846.html
und https://www.pcspezialist.de/blog/2022/11/28/mfa-fatigue-angriff/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3u1
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8395-20230510-die-zwei-faktor-authentifizierung-aushebeln.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8395-20230510-die-zwei-faktor-authentifizierung-aushebeln.html
Tags: #Schwachstelle #Mensch #Zwei-Faktor-Authentifizierung #2FA #PSD2 #SocialEngineering #MFA-Fatigue-Angriff #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Smartphone #Handy #IMSI-Catcher #Cyberwar #Hacking
Erstellt: 2023-05-10 08:08:28