Wie erst jetzt bekannt wurde, ist das Mitgliedernetz der CDU schon im August 2009 Opfer eines Angriffs geworden.
(…)
Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden, erklärte ein CDU-Sprecher im Gespräch mit heise online.

“Chef, is noch alles da, der Hacker ist ohne Erfolg weitergezogen.”

Auch ich habe ab 2009 die CDU mehrfach auf verschiedene Sicherheitslücken hingewiesen, aber bisher habe ich nie eine Antwort bekommen. Wenn es mir wirklich wichtig wäre, dann hätte ich natürlich mehrfach zu jeder Lücke nachgehakt, aber bei den Konservativen, die die Asche weitertragen wollen und nicht das Feuer, mache ich da eine Ausnahme. Früher oder später werden auch sie die Lücken feststellen — auf die eine oder andere Art. :O)


“Volkswagen anfällig für Angriffe” (golem.de)

VW sei nur schlecht gegen Attacken über das Internet gesichert. (…) in die Produktion eingreifen, (…) vertrauliche Unterlagen etwa über künftige Automodelle entwenden.
(…)
Bisher war VW noch keinen Angriffen über das Internet ausgesetzt.

“Chef, is noch alles da, wir hatten noch nie Besuch von einem Hacker.”

Was glauben diese Ei-Tea-Spezial-Expert? Nur weil Daten nicht gelöscht wurden oder ein Angriff nicht an die große Glocke gehängt wurde, gab es keine Angriffe?

Wie dämlich muss man sein, um in solchen Firmen einen gut bezahlten Job zu bekommen? Tja, ich werde wohl nie reich werden. :O)


Um hier nicht einen falschen Eindruck zu verbreiten, solche Experten werkeln nicht nur in Organisationen und Firmen, die nicht direkt mit dem Internet ihr Geld verdienen.

“Neue Hacker-Gruppe stiehlt 840.000 Kundendaten bei K&M – Elektronik” (gulli.com)

Vor zwei Monaten…

“Achtung! Phishing-Mails im Umlauf!” (kmelektronik.de)

Mittlerweile sind unsere Server wieder online und die entsprechende Sicherheitslücke wurde behoben. Unsere Recherchen haben bisher folgendes ergeben:

Am gestrigen Abend (21.06.2011) erhielten viele Kunden unseres Shops eine E-Mail mit dem Betreff „K&M Elektronik Gutschein“, die wie folgt aussah:

Ein Angreifer hatte sich damals Zugang zu E-Mail-Adressen und Namen der Kunden verschafft, um echt wirkende E-Mails versenden zu können. Es wurden per SQL-Injection auch im Shop selber Inhalte hinterlegt, was K&M in der Meldung natürlich verschwieg.

“Gezielter Angriff auf Kunden von K&M-Elektronik” (heise.de)

Die Kriminellen nutzen offenbar eine SQL-Injection-Lücke im Webshop von K&M, um einen Verweis auf das extern gehostete Java-Applet in den Quelltext der Shop-Seite beim Aufruf einzubetten.

Und nun ist es wieder SQL-Injection, über die die Hacker ins System vordrangen, um alle Daten der Kunden, inkl. der Passworte, die natürlich im Klartext in der Datenbank gespeichert wurden, zu kopieren.

K&M hatte damals bereits einen Experten zum Schließen der Sicherheitslücken hinzugezogen. Über die Güte des Experten kann ich natürlich nichts sagen, aber wenn ich (aktuell noch immer) über eine einfache Google-Suche SQL-Fehlermeldungen finde und somit auch weitere potenzielle Lücken zu SQL-Injection… naja, evtl. auch ein Ei-Tea-Spezial-Experte?

http://npa-in-aktion.de/

In dem PDF Liste der Diensteanbieter mit Berechtigungszertifikat (personalausweisportal.de) findet man zur Zeit 43 verschiedene Anbieter (Stand: 01.02.2011), aber nur auf 9 Websites gibt es auch Futter für den neuen Personalausweis.

Irgendwie kann ich mich des Eindruckes nicht erwehren, dass die Anbieter die bereits das Berechtigungszertifikat besitzen noch voll auf der Bremse stehen und sich nicht so recht trauen ihr Zertifikat zu nutzen. Zum Teil gibt es wohl noch technische Probleme und der Personal- und Kostenaufwand ist wohl auch nicht unerheblich.

Auch die Anbieter die bereits den nPA auf ihrer Website unterstützen haben noch so einige technische Probleme bzw. Sicherheitslücken wo sich mir die Nackenhaare aufstellen, aber dazu später mehr an dieser Stelle. :O)


Noch kurz zu dem was ich da technisch verbrochen habe.

Ja, es ist ein WordPress, aber,
nein, es ist kein Blog.

Ich habe alle Funktionen die einen Blog auszeichnen entfernt, da gibt es nichts zu kommentieren und auch nichts zu spammen oder zu linkbuilden, was der eigentliche Grund für die Blog-Kastration war, denn ich will meine Zeit nicht mit diesen SEO-Schwachmaten verschwenden.

“ePerso: PIN kann ungewollt ausgelesen werden”

“Neuer Personalausweis per Phishing geknackt”

Die AusweisApp wurde gehackt,
…der neue Personalausweis wurde gehackt,
…das BSI wurde gehackt,
…die Bundesregierung (die den Spaß mit unserem Geld bezahlt) wurde gehackt.

OMG!

Und dieser Unsinn wurde auch wieder willig per Twitter weiterverbreitet, genauso wie das Problem mit den diakritischen Zeichen. Da hieß es auch der Ausweis wäre unbrauchbar. Das allerdings nur die ÄNTE zum Teil betroffen sind und weder der nPA noch die App, hat kaum wen interessiert.

Wer lesen (und verstehen) kann, ist voll im Vorteil:
“ePerso: PIN-Diebstahl ohne Malware” (janschejbal.wordpress.com)

Dieser Angriff nutzt keine Sicherheitslücke im Ausweis oder der AusweisApp aus, sondern die Tatsache, dass Nutzer nicht in der Lage sind, echt aussehende von echten Fenstern zu unterscheiden.

Die einen sind der Meinung dass das was Jan Schejbal da zeigt gar kein Angriff wäre und die anderen schwelgen in feuchten Träumen der neue Personalausweis wäre geknackt worden — beides ist falsch.

Die Demo ist ein Denkanstoß für die Benutzer des nPA und ein Schlag ins Gesicht derer, die das schwächste Glied in der Kette vorsätzlich missachtet haben (um das Projekt nicht zu gefährden, denn zu viel Realismus ist schädlich für den Wirtschaftsstandort Deutschland) und nicht in die Entwicklung des Projektes “Neuer Personalausweis” mit einbezogen haben — den normalen Anwender.

Warum hat man sich wohl per Gesetz rückversichert, dass im Schadensfall der Anwender selber schuld sein muss und niemals die vom Bund angebotene Technik? Keinmal darf man raten. Natürlich weil die Damen und Herren ganz genau wissen, dass der normale Anwender von dem Technikgedöns vollkommen erschlagen ist, weshalb z.B. auch niemand auf abgelaufene oder falsche SSL-Zertifikate achtet, die der Browser beim täglichen surfen meldet. Genau diese Klientel ist das Ziel der Demo und auch sie ist das Ziel der echten Angreifer.


Zu den Piraten und ihrer Presseerklärung muss man wohl nicht mehr viel sagen. Sie scheinen zum Teil schon in der etablierten Politik angekommen zu sein.

An dem neuen Personalausweis, der AusweisApp, den Kartenlesern und nicht zu vergessen der (fehlenden) Informationspolitik des BSI und BMI gibt es genügend Punkte die man kritisieren kann, da muss man nicht etwas für die Presse inszenieren.

Der Bundesverband Digitale Wirtschaft (BVDW) forderte, im Gesetzentwurf eine einheitliche Kennzeichnung der De-Mails zu verankern,…
Die Deutsche Post weicht allerdings davon ab, hier soll die Adresse «vorname.nachname@epost.de» lauten.

«Zusätzliche Domains bergen ein erhebliches Risiko, die Endnutzer zu verwirren und so die Eindeutigkeit und die Glaubwürdigkeit der De- Mail zu gefährden», erklärte der BVDW.

Ich wollte eigentlich nur etwas genauer schauen wer, was, wann gesagt hatte — denn das was die Deutsche Post anbietet gehört nicht zu De-Mail, sondern ist ein Konkurrenzprodukt — aber soweit kam ich gar nicht:

Safe Browsing Diagnostic page for bvdw.org (google.com) (Screenshot)
Da hat Google also Malware gefunden oder zumindest etwas verdächtiges registriert.


Im Quellcode auf bvdw.org fand ich dann einen Hinweis:
<!-- Generated by OpenX 2.8.1 -->

“Schwachstelle in OpenX ermöglicht Kompromittierung von Ad-Serern” (buerger-cert.de)

Empfehlung
Das Bürger-CERT empfiehlt Adminstratoren von OpenX Ad-Servern [1] ihre Systeme auf Kompromitterung zu überprüfen. Desweitern empfiehlt das Bürger-CERT eine Aktualisierung auf Version 2.8.5,…

“OpenX Ad Server – SQL Injection on 2.8.4” (developer.openx.org)
Allerdings ist diese Meldung schon ein paar Monate (!) alt:

Created: 03/Mar/10 03:48 PM     Updated: 03/Mar/10 03:48 PM

Mit veralteten Software-Versionen und den anderen Lücken (Cross-Site Scripting, Session Fixation, Information Disclosure, etc.) macht bvdw.org keine gute Figur. Aber ihr Slogan “Wir sind das Netz” passt zu dem was ich so üblicherweise im Netz finde — ich habe also nichts herausragend schlechtes gefunden. ;O)

Diese Fernsehmenschen aus Berlin machen so als ob das eine neue Geschichte war, als ob sie da etwas ausgegraben haben was vor ihnen kein Mensch wusste. Wenn man sich als Journalist mit Politik beschäftigt, dann sollte man schon wissen, das viele Informationen öffentlich zugänglich sind, bei denen die Politik gar nicht auf die Idee kommt, das darin zum Teil auch peinliche, zweifelhafte oder gar ungesetzliche Details beschrieben sind.

Bereits am 30.07.2007 schrieb ich in Schmiermittelbericht über Sponsoring, auch im Bundespräsidialamt. Hier zitier ich mich mal selber:

Zu von Brauchitsch-Zeiten hieß sowas noch “politische Landschaftspflege”, wurde dann zu “Bimbes” und nun heißt es “Sponsoring” — gemeint ist immer das Gleiche…

Zweijahresberichte des Bundesministeriums des Innern über die Sponsoringleistungen an die Bundesverwaltung

1. Berichtszeitraum: 1. August 2003 bis 31. Dezember 2004
   • Zweijahresbericht
   • Tabellarische Übersicht
2. Berichtszeitraum: 1. Januar 2005 bis 31. Dezember 2006
3. Berichtszeitraum: 1. Januar 2007 bis 31. Dezember 2008

Quelle: jeweils bmi.bund.de / als PDF

Siemens wird zusammen mit Openlimit den sogenannten Bürgerclient für den elektronischen Personalausweis entwickeln. Den entsprechenden Auftrag vergab das Bundesinnenministerium jetzt an Siemens IT Solutions and Services, Openlimit und die Bundesdruckerei.

Dieser “Bürgerclient” ist die Software, die auf dem Computer des Bürgers installiert sein muss, die dann die Kommunikation zwischen dem Kartenlesegerät und dem eID-Server herstellt. Es ist eine der Komponenten der ich vertrauen muss, dass sie mit meinen Daten keinen Mist baut.

Die eigentliche Bürgerclient-Software soll Openlimit entwickeln.

“Adhoc-Mitteilung: OpenLimit realisiert den Bürger-Client” (openlimit.com)

Ok, dies ist nur mal wieder etwas Cross-Site Scripting, was wohl an dem CMS bzw. der Form-Erweiterung liegt, aber trotzdem schwindet mein Vertrauen, wenn ich so etwas sehe.

Wer an solch sensiblen Projekten arbeitet, der muss ganz besonders darauf achten, dass nicht der Hauch von Misstrauen auftaucht. Da ich nun annehmen muss, dass diese Firma Software aus fremden Quellen ungeprüft verwendet, stellen sich mir verschiedene Fragen:

• Wird im “Bürgerclient” auch Fremdsoftware zum Einsatz kommen?
  • Ist dies Open Source, damit man prüfen kann was sie mit den Daten anstellt?
  • Wenn es kein Open Source ist, wie wird dann geprüft, um unerwünschte Funktionen darin aufzuspüren?
• Wer bekommt die Möglichkeit in den Quellcode zu schauen, um zu prüfen, was der “Bürgerclient” mit den Daten anstellt?

Da die Verteilung über die Einwohnermeldeämter und deren Websites erfolgen soll, frage ich mich, wie man dort verhindern will, dass manipulierte Versionen unter das Volk gebracht werden?

Im letzten Jahr schrieb ich in “Meldedaten leck(t)en ins Netz” über diese Ämter, weshalb die Frage nicht ganz unberechtigt ist. Mehr als ein Jahr ist in der IT eine halbe Ewigkeit, in der sich viel ändern kann, aber bei den Ämtern?

Am Arbeitslosenamt sah man in den letzten Wochen ja wie man dort tickt:
“Bewerber und Betrüger” (sueddeutsche.de)

Jeder, der sich als Arbeitgeber ausgibt, kommt über die Jobbörse der Arbeitsagentur an sensible Bewerberdaten.

Man wollte erst nichts an der bisherigen Praxis ändern:

“Im Hinblick auf die Engpässe am Arbeitsmarkt wollte die BA eine Erhöhung der Einstiegsbarrieren für die Jobbörse vermeiden”, heißt es in einer Stellungnahme.

Erst nach dem “Missbrauch der Jobbörse der Arbeitsagentur” (faz.net) wollte man handeln:

Die Bundesagentur reagierte auf diesen und ähnliche Vorfälle und verschärft die Zulassungsbedingungen für Arbeitgeber, wie BA-Vorstandsmitglied Raimund Becker gegenüber der F.A.Z. sagte

Und hier “Datenschutzmängel bei neuem Computersystem der Arbeitsagentur” (heise.de) wurde über die Datenbank geschrieben, über die jeder der beim Arbeitslosenamt angestellt ist, auf die Datensätze aller Arbeitslosen zugreifen kann.

Und wenn ich dann auf Golem noch

Unternehmen und Institutionen müssen sich ebenfalls authentifizieren, um auf die Daten der Bürger zugreifen zu dürfen.

lese, so wird mir ganz schlecht. Beim Arbeitslosenamt hat es bisher ausgereicht sich als Arbeitgeber auszugeben, um an die Daten der Arbeitssuchenden zu kommen und bei den Meldeämtern reicht es noch immer aus, wenn man ein paar Euro bezahlt, um an Meldedaten der Bürger zu gelangen, sofern diese der Weitergabe nicht explizit widersprochen haben.

Da werden wir wohl die ersten Missbrauchsfälle abwarten müssen, bis man sich mit großer Vorsicht dem ePerso und dem “Bürgerclient” nähern kann.


Nach wie vor glaube ich nicht, dass die Verantwortlichen in Politik, Wirtschaft und Verwaltung schon reif genug sind, um Projekte solcher Tragweite, unter das Volk zu bringen.

Die Problematik bei solchen jährlichen Prüfungen liegt auf der Hand. Die zertifizierte Website besitzt zu dem geprüften Termin den, zu dem Zeitpunkt, korrekten Status einer zertifizierten Seite, aber bei der nächsten Änderung an den Seiten kann sofort eine Sicherheitslücke aufgerissen werden, die diesen Status augenblicklich aufhebt.


Eine Änderung die zu neuen Lücken führt, kann vielfältiger Natur sein.

Ein Update der verwendeten Software könnte zwar den eigentlichen Zweck haben, dass bekannte Sicherheitslücken geschlossen werden sollen, aber gleichzeitig tun sich u.U. neue, noch unbekannte, Lücken auf. Hierbei ist es unerheblich, welche Software ein Update erfährt. Es könnte das Betriebssystem des Servers sein, der Web- oder Datenbankserver oder auch die Shopsoftware selber.

Integriert man z.B. ein ein neues Widget, so wird meist nur eine Zeile Code in die Templates eingefügt, welche ab sofort ein JavaScript von einem externen Anbieter nachlädt. Ist der Code des Widgets nicht sorgfältig genug programmiert, so könnte es sein, dass man sich gerade eine Lücke in sein System eingebaut hat – ein Widget mit eher unerwünschten Features.


Ich würde nun zwar nicht behaupten, dass diese Zertifikate vollkommen wertlos sind – da nicht nur die Sicherheit aus technischer Sicht geprüft wird, sondern auch die Prozesse einer Bestellung, die nach dem letzten Klick im Shop folgen – aber die Zertifizierer sollten dem Endkunden klar machen, dass das Zertifikat, aus technischer Sicht, nur ein Schnappschuss, eine Zustandsbeschreibung für den Zeitpunkt der Prüfung sein kann.

Aus meiner Sicht gibt es nur zwei Möglichkeiten, um mit dieser unbefriedigenden Position, als Zertifikat ausstellende Stelle, umzugehen:

1. Man muss seine Kunden dazu zwingen, jegliche Änderungen an der Website mitzuteilen, damit eine Nachprüfung erfolgen kann. Jede Nachprüfung (Datum, evtl. kurze Beschreibung) wird auch für den Endkunden Dokumentiert, um auch hier Vertrauen zu schaffen. Wird festgestellt, das Änderungen nicht mitgeteilt wurden, so verfällt ein Zertifikat mit sofortiger Wirkung, was ebenfalls für den Endkunden dokumentier wird.
2. Dem Endkunden muss glasklar Mitgeteilt werden, dass das Zertifikat für das Datum gilt, an dem eine Prüfung abgeschlossen wurde und er sich darauf verlassen kann, dass zu diesem Datum eine relative Sicherheit bestand – denn 100% Sicherheit gibt es nicht. Dem Besucher der Website muss aber auch vermittelt werden, dass die nächste Prüfung erst in 12 Monaten erfolgt und bis dahin jederzeit Lücken entstehen könnten, die alleine im Verantwortungsbereich des Betreibers der Website liegen und nicht der Zertifikat ausstellenden Stelle anzulasten sind.

Die Betreiber der Websites wollen mit der Zertifizierung werben, um dadurch mehr Umsatz zu generieren – was durchaus legitim ist – aber, sie müssen sich dann auch mehr in die Pflicht nehmen lassen. Wenn eine Website eine Prüfung erfolgreich durchlaufen hat, so kann man nicht die nächsten 12 Monate fleissig neue Features einbauen oder Änderungen vornehmen und wirklich meinen, weiterhin mit einem Zertifikat glaubhaft werben zu können.


Als Zertifizierer könnte man aus dem Dilemma – zwischen 364 Tage Risiko und fortlaufender Prüfung nach jeder Änderung, welche angeblich kein Websitebetreiber will – auch entkommen, indem ein neues Produkt mit zwei Stufen angeboten wird.

1. Der Kunde bekommt das bisherige Zertifikat, allerdings mit dem für den Endkunden deutlich erkennbaren Hinweis, dass das Zertifikat nur für das Datum der Ausstellung des Zertifikats gilt und jegliche zukünftigen Lücken von dem Betreiber der Website zu verantworten sind. Sollte der Websitebetreiber eine angeforderte Nachprüfung erfolgreich durchlaufen, so wird natürlich auch das Datum des Zertifikats aktualisiert.
2. Jegliche Änderungen an der Website müssen dem Zertifizierer mitgeteilt werden, welche eine kostenpflichtige Nachprüfung erfordert. Nur bei dieser Variante kann der Websitebetreiber glaubhaft mit dem Zertifikat werben.

Die weiteren Details zu den zwei Varianten müssen genau erarbeitet werden, welche auch die juristischen Gesichtspunkte mit einbeziehen, wer wofür haftbar gemacht werden kann, etc.


Sollte an der aktuellen Vergabepraxis von Zertifikaten nichts geändert werden, so werden wir erleben, dass diese, von der technischen Seite her, vollkommen wertlos werden, da der Endkunde jegliches Vertrauen verloren hat.

• “Was kaufen Kunden, nachdem sie diesen Artikel angesehen haben?”
• “Wird oft zusammen gekauft”
• “Passendes Zubehör zu diesem Artikel”
• “Kunden, die diesen Artikel gekauft haben, kauften auch”

Im Shop von OTTO (otto.de) gibt es etwas ähnliches:


Aber zu welchem Produkt könnte das eine Empfehlung sein?
Auf dieses Produkt wäre ich jetzt nicht gekommen… ;O)

Und was haben Nass-/Trockenrasierer, Stabmixer-Set, Fußmatte, Jeans-Hose, Oberarm-Blutdruckmessgerät, Plasma-TV, Bügel-BH und Allesschneider gemein?


Worauf will ich hinaus? Die alten Versender, die mit ihren dicken Katalogen Mutti beglückten, haben in der pre-Internet-Zeit gutes Geld verdient, aber die Zeichen der Zeit nicht erkannt. Es reicht natürlich nicht aus, dem Besucher einer Website einfach irgendwelche Produkte vor die Füße zu werfen, in der Hoffnung, er wird sie schon kaufen.

Im Shop von Neckermann (neckermann.de) sieht es zwar etwas besser aus, aber die Produkte die unter “Kombinierbar mit” verlinkt sind, sind häufig “ausverkauft”. Naja, auch nicht so wirklich sinnvoll, dem Kunden erst zu sagen “Hier gibt es noch etwas passendes!” und dann ist es nicht lieferbar.

Ich hätte ja gerne noch den Shop von Quelle besucht, um mir die “Ausgewählte(n) Preis-Knaller!” anzuschauen, aber über die Startseite kam ich nicht hinaus. Es war abzusehen, dass die Quelle-Server den Ansturm der Schnäppchenjäger (man könnte auch Aasgeier sagen) nicht bewältigen werden.

Zwar hatten die Techniker des Unternehmens nach eigener Erklärung extra für zusätzliche Serverkapazität gesorgt, doch kaum war das Rennen auf die Restbestände um 6 Uhr eröffnet, kam der Netzwerkverkehr mit dem Quelle-Webshop auch schon zum Erliegen.

Quelle: heise.de

Ich nehme mal an, dass man bei den “Preis-Knaller(n)” von Quelle ähnliches erleben wird wie bei den anderen alten Versendet. Da nehmen ich mir mal ein Produkt heraus: “Samsung PS50B430″ ein Plasma-Fernseher.

• Preis bei Quelle: 849,99 Euro (aus dem Google-Cache), wenn es auf den auch 10% Rabatt gibt, so sollte er nun 764,99 Euro kosten.
• OTTO meint “bei uns nur € 849,90“.
• Und die Neckermänner “jetzt 849,00 € bis zu 150,00 € gespart”.

Wenn ich nun meinen Favoriten guenstiger.de anwerfe, so finde ich den gleichen Fernseher für 634 Euro.

Geiz ist nicht geil, aber bei dem Preisunterschied, wird wohl kaum jemand (ohne Rabatt) 215 Euro mehr ausgeben wollen.


Warum sollte ich bei den alten Katalogversendern bestellen?

• Die Preise sind nicht gut, auch bei nicht technischen Produkten.
  (Levis 501 / Neckermann 90,90 Euro inkl. Versandkosten, OTTO 99,95 Euro zzgl. Versandkosten und in einem beliebigen Shop den ich per Google finde, zwischen 70 Euro und 90 Euro inkl. Versandkosten.)
• Kaum/keine oder fehlerhafte Verknüpfung mit passenden weiteren Produkten, die auch gerne mal “ausverkauft” sind.
• Lieferzeiten z.T. eher verwirrend “sofort lieferbar innerhalb 3 Wochen”.
  (Na watt denn nu?)

Von Amazon könnten sich die alten Versender eine Scheibe abschneiden. Amazon versteht es, meiner Meinung nach, so gut wie kaum ein anderer Shop, den Kunden relevante Infos zu Produkten anzubieten und die Preise klammern sich nicht am UVP der Hersteller.

Sollten die alten Katalogdrucker nicht kurzfristig auf das Internetzeitalter reagieren und umschalten, so wird ihnen sehr wahrscheinlich ein ähnliches Schicksal wie Quelle ereilen. Leider haben die, die die Folgen von Missmanagement auszubaden haben, kaum Einfluss auf eine Modernisierung.

In verschiedenen Blogs wurde über dieses Datenleck berichtet:
“Datenpanne bei der DHL? Sendungsverfolgung für fremde Pakete” (netzrecht.org)
“DHL gibt Auskunft über fremde Pakete” (lawblog.de)
“Datenschutz: Paketverfolgung bei der DHL für jeden möglich” (nachgeblogt.com)

Gestern wurde dann der Praktikant der DHL-EiTea-Abteilung aus seinem wohlverdienten Wochenende gerissen. Erst schaltete er den Wartungsmodus ein, damit niemand mehr auf den Sendungsstatus zugreifen konnte. Irgendwann war er dann mit seinem Gefrickel fertig und aktivierte das System wieder für die Öffentlichkeit.

Nun kann man nur noch die Sendungsnummer eingeben, es gibt kein Feld mehr für die Referenznummer. Da man ja genau in dem jetzt fehlenden Feld die PLZ eingeben mußte… könnte man… aber nein, es war doch nur der Praktikant. :O)

Die Lücke besteht nach wie vor, man kann noch immer die Daten auslesen.

Nur ein Hinweis von mir: Lieber DHL-EiTea-Praktikant, es reicht nicht aus, nur ein Formularfeld aus einem Template zu entfernen, um die Lücke zu schließen.

Update: 13.07.2009 – 11:50 Uhr
Liebe DHL-EiTealer, ihr braucht nicht meinen ganzen Blog durchkämmen – wie ihr die Lücke schließen könnt habe ich nirgends geschrieben, fragt mich einfach, geht schneller. :O)

Update: 14.07.2009 – 17:04 Uhr
DHL hat nun die Lücke endlich geschlossen. Ob meine beiden Hinweisen (per E-Mail und per Kontaktformular) mit Beispiellinks dazu geführt haben weiß ich nicht, da sie mir natürlich nicht geantwortet haben.


Was bei DHL noch fehlt, die vollständige Adresse des Empfängers, da kann ein anderer Paketdienst aushelfen. Auch bei DPD waren EiTea-Frickler am Werk, denn anders ist es nicht zu erklären, dass man nur mit der Paketscheinnummer bewaffnet, jeden Zustellbeleg, inkl. Postanschrift des Empfängers und Name und Unterschrift des Menschen der die Sendung angenommen hat, runterladen kann:

DPD nutzt fortlaufende Paketscheinnummern, was das Abgreifen der Daten per Script sehr vereinfacht:

Im Moment fällt mir noch kein sinnvoller Betrugsversuch ein, bei dem ein Angreifer die gewonnenen Daten nutzen könnte, aber: DPD, muß das so sein? Oder verstehe ich nur mal wieder dieses Feature nicht?

(Ich habe ganz bewusst nur mit alten Paketscheinnummern die Screenshots erstellt. Die verfügbaren Zustellbelege sind tagesaktuell abrufbar.)

Das Video der Pressekonferenz ist hier noch online verfügbar:
http://m.vodafone.de/pk/

Meine paranoide, präkognitive Ahnung sagte mir: Die Kommentare aus dem Facebook-Chat sind bald nicht mehr online und diese sind das Beste an der ganzen PK, also schnell vorher sichern. Das Netz vergisst zwar nichts, aber so schnell ist nicht einmal Google. :O) Es wurden insgesamt 2194 Kommentare oder Fragen über Facebook-Chat kommuniziert, also werde ich hier nur einige wenige aufführen.


Erst dachte ich, ich bin einfach nur zu dumm um Vodafone zu verstehen, aber aus den Kommentaren entnahm ich dann, dass auch die anderen Zuschauen nicht wussten worum es eigentlich geht:

• Wenn die Kommentare nicht wären, wär die Präsentation stink langweilig
• grade fragt mich jmd.: Was machen die da? Was ist das Thema? :)))
• Immer noch nicht klar, welchen Mehrwert nun “Empowerment” mitbringt! A lot of buzzwords, non-differentiated, nothing else than chestpounding…
• ach jetzt versteh ich das ist hier Werbung, und ich dachte schon die stellen nen neues Gadget oder nen tollen neuen Dienst vor. wozu dann die übertragung? “wir” sind doch nicht die Zielgruppe von dem Marketingsprech was der nette Herr redet..

Es ging einfach nur um eine “Vodafone-Markenkampagne” mit der der “Claim” “Es ist Deine Zeit.” (esistdeinezeit.de) zur Welt gebracht wurde und mit der man die “Generaion Upload” ansprechen will, wer auch immer diese Generation sein soll. Kein neues Produkt, keine neuen Dienste, kein neues Handy in Verbindung mit einem neuen Tarif oder ähnliches. Wenn man dies weiß bevor man das Video der PK sieht… :O) Dann wird auch klar warum da so viel Unsinn geschwafelt wurde, von “Generation Upload”, “Empowerment”, “P O Essen”, etc. Wenn man eigentlich nicht viel zu sagen hat, aber man muß viel sagen, tja, da kann dann nichts gutes bei rauskommen.

Aber wenn man diese Kommentare liest, dann scheint wohl die Inhaltslosigkeit bei Pressekonferenzen nicht neu zu sein:

• Aber schon schön, dass jetzt mal “alle” sehen, was sich sonst so die Journalisten anhören dürfen.
• Gut, dass es Journalisten gibt. Live-PKs sind nichts für Endkunden.
• Es ist immerhin schön, dass hier auch Nicht-Journalisten mitbekommen, welche heiße Luft man bei Pressekonferenzen präsentiert bekommt. Das führt dann leider dazu, dass Kollegen entweder aufgeben, indem sie nichts berichten – oder einfach die Pressemitteilung übernehmen.

Das Marketingsprech der Pressekonferenz war wirklich sehr sehr grausam, nicht nur mir ging es so:

• schon mal die buzzwordbingo-karte bereit legen ;-)
• Hört eigentlich jemand zu und wenn ja, versteht jemand, was der da sagt? Ich mach mal Business Bullshit Bingo.
• BINGO! Net promoter score
• BINGO! Nachtrag: Brand refresh
• BINGO! Empowerment
• Wer hat diese Rede geschrieben? Buzzword-Bullshit-Bingo vom grausamsten…
• generation upload, empowerement, client first, brand refresh BINGO
• Ist dies hier die Vodafone Pressekonferenz oder das Buzzword Bingo mit Business Kaspern?
• Ich will Lobo. Der ist beim Bullshit-Bingo wenigstens lustig.
• Bullshit BINGO! “Jänärätion Aplood”

Aber es geht auch andersherum:

• Eine sehr homogene Veranstaltung mit exorbitant hohem Informationsgehalt als Reaktion auf die Projektion der disintegrierten, kolaborativ kontraproduktiv vorgehenden Opponenten mit rein destruktiver Insistierung, welche der aufstrebenden Upload-Community ein De-Empowerment offerieren wollen, oder?

Neben “Empowerment” (de.wikipedia.org)

Mit Empowerment bezeichnet man Strategien und Maßnahmen, die geeignet sind, den Grad an Autonomie und Selbstbestimmung im Leben von Menschen oder Gemeinschaften zu erhöhen und es ihnen ermöglichen, ihre Interessen (wieder) eigenmächtig, selbstverantwortlich und selbstbestimmt zu vertreten und zu gestalten.

wurde in den Kommentaren die “Generation Upload” aufs Korn genommen:

• Wenn dies der Versuch ist, sich bei mir einzuschleimen, dann habt ihr versagt! Das muesst Ihr einfach einsehen! Ich bin Computer-affin und nicht irgendeine Generation Blah.
• OK, mal eine ernsthaft Frage an die Leute die da reden: Merken Sie eigentlich, dass Sie von der Zielgruppe nicht ernst genommen werden, wenn Sie dem Trend hinterherlaufen mit Aktionen wie “Generation Upload”?
• Generation Upload – jetzt schon das Unwort des Jahres.
• Generation Upload ist ja überhaupt mal so etwas von einer kranken Marketing-Produktmanager-Nixversteher-Hirnausgeburt

Bis auf Sascha Lobo ist mir keiner der Protagonisten der Spots bekannt. Für mich sieht es so aus als ob Herr Lobo, entweder von Vodafone nicht zu dieser Kampagne befragt wurde oder sein Rat nicht auf fruchtbaren Boden gefallen ist. Ich kann mir nämlich nicht vorstellen das Herr Lobo nicht erkannt hat, dass dieser “Du bist Generation Upload”-Unsinn ein Schuss ins Knie ist bzw. voll nach hinten losgeht. Unter den Zuschauern gab es wohl auch den einen oder anderen der ähnlich dachte wie ich:

• sascha auf verlorenem posten…. – mann, fühlt der sich deplaziert
• Der Lobo sieht aus als müsste er gleich brechen
• Hat Sascha Magenschmerzen?
• würde gerne saschas ehrliche meinung zur Kampagne hören …
• Lobo wirkt genervt. Muss zusehen, wie sie es vergeigen.
• Wird Lobo gerade klar, dass er einen Fehler gemacht hat, indem er sich hier vor den Wagen spannen laesst?
• heijeijei, der Lobo sieht so aus, als würde ihm gerade klar, was hier alle denken. doofe Idee…