Topic: Lösung bitcoin.de Fidor-Fidor Zahlungen & Verifikation - page 2. (Read 17285 times)

Damit ein gewisser Überblick über das ganze Geschehen entsteht, empfehle ich zum Einstieg folgende Beiträge auf der fidor-Community zu lesen:

1. Den Beitrag von *Saladiner* vom 12.12.2013 um 12:07 gestartet. Titel: Dann frage ich mal den Vorstandssprecher. Lieber mk ...........

2. Den Beitrag von *Mayulin* vom 19.12.2013 um 13:47 gestartet. Titel: Ist Geldverleih über Fidor sicher?

Da ist öfters bei fidor Geldbeträge für kurze Zeit an andere User anonym verleihe und auch keine Zinsen verlange, gibt es auch User die nicht zurückbezahlen. Erst dann benötige ich die Namen und Adressen von den Leuten. Aber meine Anfragen wurden nie beantwortet. Deshalb fragte ich den Vorstandssprecher mk (Beitrag unter 1.) Vor einem Jahr wurden mir bei anderen Nichtzahlern promt die Adressen ausgehändigt. Es stand damals sogar in den AGBs der fidor-Bank und ich dachte es ist noch immer so.

Die Geldverleih-Funktion ist eigens von fidor ins Leben gehoben worden, aber in der community sind die anfragen nach Geld nicht erwünscht. Es wurde vor kurzem von einem User die Gruppe: *Geldanfrage* geschaffen. Gerade vor wenigen Minuten wurde diese Gruppe vom Kundenservice wieder gelöscht.

Achtung: Dieser Beitrag enthält Emotionen, Ironie und Sarkasmus!

> Serpens66 hat dazu etwas  in Re: Wahllose Kündigungen auf Bitcoin.de gepostet, was meiner Meinung nach  hier nicht fehlen sollte.
>
> Saladiner weiss offensichtlich seit geraumer Zeit, dass er bei einer gewissen Übwform im feedback einen Klarnamen und die IBAN und BIC des Betreffenden in Erfahrung bringen kann. Sie können sich selbst ausrechnen was man damit anstellen kann. Bei mir hat er das bereits mehrfach getan,

Hmmm... das Problem mit der Anzeige des Namens (alles andere bekommt man ja auch ohne eine "Geld an Freunde senden" Aktion heraus) ist mir nur zu gut bekannt.
Warum macht das aber jemand mehrfach? Habe ich ein(en) Feature Bug bei der Funktion übersehen?
Bekommt man bei mehrfachen Überweisungen jetzt die SSN - äh... faschen Land Ausweisnummer oder Anschrift des Zahlungsempfängers angezeigt?


> kundenservice - 23.12.2013 17:49:27:
> Hier noch Mal Klartext vom Kundenservice: Dem hier so oft genannten User Saladiner wurde der Community-Zugang entzogen.
> Die Fidor Bank läßt sich nicht alles gefallen, die Kunden der Fidor Bank auch nicht. Danke an alle Betroffenen und Leidtragenden, wir werden
> zukünftig, wie auch schon angekündigt, etwas strenger zugreifen, wenn ein oder anderer Nutzer nicht bereit ist, die Regeln dieser unserer
> Community zu akzeptieren. Ihnen, Euch und uns allen schöne Feiertage! Ihr Kundenservice

Das ist erst mal gut zu wissen, dass sich der Kundenservice um Probleme kümmert.
Ohne jetzt direkt einen Kommentar oder eine Bewertung zu Saladiner vorzunehmen, fehlt mir eine gewisse Selbstkritik der
Fidor-Bank.

Die Fidor-Bank hat von sich aus diese Funktion "Geld an Unbekannte Freunde senden" eingeführt.
Diese Funktion (so wie ich sie aktiv gesehen habe) im Zusammenhang mit der Anzeige der Buchungen beim
Empfänger war ungenügend (evt. auch unzulässig).
Es hat erheblichen Druck der Kunden benötigt, damit die Fidor-Bank die Probleme mit diesem Feature ausbessert.

Bei diesem 1. Ausbesserungs-Versuch haben sie die bemängelte Anzeige des Namen und Kontonummer beim Empfänger
behoben, dafür einen neuen Bug (diesmal Datenschutz) eingebaut.
Auch dieses Problem hat die Fidor-Bank scheinbar unterschätzt.

Das (entschärfte) Datenschutz-Problem existiert immer noch. Man bekommt zu einer Kontonummer weiterhin den
Fidor-Nicknamen und die Fidor-ID angezeigt (Stand: 26.12.2013, 13:10 Uhr). Und das ganze, ohne eine Überweisung (welcher
Form auch immer) duchführen zu müssen.

Meine Vorschläge an die Fidor-Bank wären:

a) Komplette Einstellung des Features "Geld an Freunde senden".
    Ich habe meinen Nicknamen bei der Fidor-Bank so gewählt, dass ihn JEDER kennt (also keinen besonderen Nicknamen bei
    der Fidor-Bank). Ich wurde von der Fidor-Bank nie über die Risiken, meinen üblichen Nicknamen zu verwenden, informiert.
    Es ist inakzeptabel, dass jeder Kunde (auch Leute, die nicht meine Freunde sind! Und ein Freund von mir ist nicht jemand,
    der meinen Nicknamen kennt) über meinen Nicknamen meine Kontonummer und Fidor-ID herausbekommen kann.
    Kunden sollten eine normale Überweisung nutzen können, die dann auch sofort verbucht wird.

b) Kontonummern nicht mehr fortlaufend (unter Berücksichtigung der Prüfziffer als letzte Stelle) vergeben.
    Es gibt keinen Grund, warum eine Kontonummer mit 007 beginnen muss (oder bekommt ihr Geld von den
    Rechteinhabern von "James Bond"?)

c) Allen Kunden anbieten, eine neue Kontonummer zu bekommen. Die alte ist durch die aktuellen Bugs ja quasi verbrannt.

trepex

Serpens66 hat dazu etwas  in Re: Wahllose Kündigungen auf Bitcoin.de gepostet, was meiner Meinung nach  hier nicht fehlen sollte.

Hallo,


kannst du das ganze mal genauer erklären?
Ich kann mich mit dem Fidor-Forum ohne Zeilenumbrüche einfach nicht anfreunden und habe dort
die ganzen Diskussionen (ging ja u.a. auch um Geld-Verleihen) nicht komplett mitbekommen.

Man hat dir den Schreib-Zugriff auf die Community (deren Forum) gesperrt, richtig?
Was ist mit dem Zugriff auf dein Konto selbst?
Gab es einen direkten privaten Mailverkehr mit der Fidor-Bank?

Bei mir ist nichts passiert. Sowohl der Comunity-Zugang als auch der Zugang zum online Banking
funktionieren noch.
Ich habe aber auch nichts direkt per Mail/Post von der Fidor Bank gehört.

Auch wenn mich hier manche Leute des Stänkern bezichtigen, ich habe nichts gegen die Fidor Bank.
Ich finde das sofortige Verbuchen von Zahlungen eine sehr gute Sache (die aber auch andere Banken
bei Kunden des selben Institutes vornehmen).
Sie müssen sich aber an die Gesetze/Regeln einer Bank halten. Wenn sie das über längere Zeit nicht
tun, dann fühle ich mich als deren Kunde, der auch Rechte gegenüber der Bank hat,
nicht korrekt behandelt.

trepex

Ja eben, aber nur weil du die hier erwähnte Lücke im Datenschutz ausgenutzt hast und wahllos Leuten kleine Geldbeträge gesendet hast, um an ihre Kontodaten und Namen zu kommen... Selbst schuld.

Falls es nicht so einfach ist, wie ich mir das grad denke, kannste deine Aktionen ja mal erklären.

Hab ichs mir doch gedacht!!
Falls die das auch mit Trepex machen, erstatte ich die bereits in Aussicht gstellte Strafanzeige wegen Untreue.

LvM

Lieber trepex

Für Sie war es eine gute Nachricht, aber für mich eher eine schlechte. Anlässlich dieser Diskussion um den 1 cent an Freunde senden hat mich fidor gesperrt und aus der Community ausgeschlossen.

Gute Nachrichten!

Die Fidor-Bank hat ihre Anzeige für die Sender einer "Geld an Freunde senden" Transaktion geändert.
Hier die alte (bedenkliche) und neue Anzeige:



trepex

"Social Banking" - daß ich nicht lache!

Das ist Etikettenschwindel, linkskorrekte Konzession an linksbesoffene Gemüter, nichts weiter.

Die BTC-Szene ist ja schon aufgrund ihres kollektivistischen Etikettenschwindels namens "Community"
als linksversifft = linksverblödet = schlicht verblödet zu verdächtigen.

Das mag auch den grassierenden Dilettantismus und die mangelnde Rechtstreue erklären,
die mich im Falle Fidor-Trepex nur deswegen von einer Strafanzeige gegen die Fidor abgehalten hat,
weil man diese Dreistigkeit und Unverschämtheit im Rahmen gesetzter Tages-Frist dann doch schnell rückgängig gemacht hat.

Kriegserklärung der Fidor-Bank an ihre "Freunde"
https://bitcointalk.org/index.php?topic=374348.0;all
(Link korrigiert)

Eine Bank, deren Mitarbeiter der Untreue verdächtig/vorbestraft sind, paßt wohl doch noch nicht ganz ins Bild
des "Social Banking".  
LvM

Hab ich ja auch vor Wochen schon indirekt gesagt, diesen  ganzen "social banking" Marketing-Käse kann man sich sparen. Da hat Florian hier (siehe Quote unten) noch gemeint: (Was an dem Design "besonders social" sein soll, könntest du aber noch erklären -ich geb den Kolleginnen gerne den Link von hier Wink  ) Grüße, Florian


Jetzt sind wir von der bloßen Social Media/Banking-Bauernfängerei und schlechter web usability, längst bei echten technischen Problemen und Datenschutzverletzung!

Da fällt mir nur ein: Wer nicht hören kann muss fühlen.

Definitv ein Datenschutzproblem. Jedoch auch einfach zu lösen.

Einfach die "Geld an Freunde senden" Option entfernen und nur das in der Umsatzliste anzeigen, was der Sender eingegeben hat.

Die ganze "Geld an Freunde senden" Sache ist doch eh redundant. Und bitte SEPA auf Fidor zulassen. Alles andere ist bald nicht mehr zeitgemäß.

Hallo,


ja, mit der Anzeige vom Vor- und Zunamen beim AUFTRAGGEBER einer "Geld an Freunde senden" Aktion ist das
heikel. Aber die Fidor-Bank geht ja davon aus, dass du deinen "Freund" auch mit echtem Namen kennst.
(Wie war doch gleich die Anforderung für einen "Freund" bei der Fidor-Bank?)

Ich habe mich nicht allzu intensiv mit dem aktuellen Status einer Konto-Anmeldung beschäftigt.
Sollte ich vielleicht mal machen, da finden sich mit Sicherheit noch mehr heikle Punkte, die bisher niemand
entdeckt hat. Leider bezahlt mich ja (noch) keiner für solche Untersuchungen

Vieleicht nimmt sich heise.de ja die Zeit

Ralf / trepex

Spannend fast wie im Krimi.
Jetz weiß ich auch wieder warum ich bei Fidor und bitcoin.de zwei verschiedene Usernamen habe.
Aber die Sache mit "Freunden Geld senden" hatte ich ganz übersehen! Tatsächlich, wenn ich an jemanden ""Freunden Geld senden"" mache, wird in meiner Übersicht Vor- und Zuname angezeigt.

EDIT: Die Sache mit dem "NICHT"  Post-Ident, ist das Vergangenheit? Und wenn ja, wann wurde das abgeschafft?

Datenschutz bei der Fidor Bank?

Nachdem wir jetzt eine (beliebig lange) Liste von Kontonummern haben, besorgen wir uns jetzt doch
mal die dazugehörigen Fidor Ncknames und Fidor-IDs (was auch immer letzteres sein soll).

Achtung: Dieser Schritt ist vermutlich grenzwertig und kann zu Sperre des eigenen Accounts oder anderen
Repressalien / Anzeigen führen!

Man logge sich bei der Fidor-Bank ein, wähle die Funktion "Geld an Freunde senden" aus und gebe einer
der (korrekten) Fidor-Bank Kontonummern (007xxxxxxx) als Empfänger ein. 0,01€ als Betrag, Verwendungszweck "Test".
Im nächsten Schritt bekommt man von der Fidor-Bank den Nicknamen und die Fidor-ID angezeigt.
Das ganze dann abbrechen und die nächste Kontonummer.
Ich kann leider zu schlecht programmieren, um das automatisiert ablaufen zu lassen. Ich weiss also nicht, wieviele
Kontos man so mit Nicknamen und Fidor-ID pro Minute "abgreifen" kann.

Das alleine halte ich aus Datenschutz Gründen für nicht tragbar.

Ich habe Florian am "December 17, 2013, 04:16:48 PM" über das Problem informiert.
In der Mail waren auch ein paar Vorschläge, wie man das Problem entschärfen könnte.
Es gab keine Reaktion.
In einem Posting wurde mir eine Antowrt auf meine Mail zugesagt. Die kam nicht.

Ich habe das ganze heute Nachmittag als Proof-of-concept ausprobiert. Die Konten um meine eigene Kontonummer
herum. Die Fidor-Bank vergibt die Kontonummern schön kontinuierlich (was ich als grossen Fehler ansehe!).

Die Datensätze von den Konten um meine Kontonummer herum habe ich (zensiert) der Fidor-Bank per Fax zukommen
lassen und um einen Anruf gebeten. Der erfolgte nicht.

Die Fidor Bank ist sich ja so sicher, dass ihre Software von Wirtschaftprüfern, BaFin etc. getestet und abgenommen
worden ist. Ich habe die Abnahmen bereits vor Wochen öffentlich als nicht gründlich genug bezeichnet.

Natürlich sieht man in den Banking-Logfiles diese Versuche (hallo, Fidor Bank, seht ihr es wirklich? Dann sagt mir doch
mal, welchen "Fehler" ich bei meinen Versuchen heute gemacht hatte). Und ich bin ein per Post-Ident verifizierte User.

Doch halt... gab es nicht diesen Zwischen-Status ohne Post-Ident? Konnte man da solche Überweisungen nicht auch
durchführen? Spannende Frage!

Schade nur, dass wir nur den Nicknamen zum Konto haben...
Doch, auch hier hat die Fidor-Bank ja die entsprechende Lösung parat:

Die "Geld an Unbekannte Freunde" Funktion einfach wirklich ausführen.
In der Konto-Umsatz Anzeigte steht dann der echte Namen vom Kontoinhaber!

(Ich hatte übrigens gefordert, dem EMPFÄNGER einer Zahlung den echten Namen anzuzeigen. Natürlich nicht
dem Auftraggeber, wenn dieser ihn nicht angibt!)

Was hat ein bösartiger Angreifer jetzt also mit trivialem Aufwand (speziell, wenn es wirklich mit einem nicht per Post-Ident
verifiziertem Account möglich ist)?:

Eine beliebig lange Liste von Kontoverbindungen bei der Fidor Bank. Kontonummer, (BLZ), Fidor-ID, Fidor-Nickname, (Klarname für 1 Cent Aufpreis)

trepex

Nachfolgendes Shell-Script erzeugt 1001 mögliche Kontonummern der Fidor-Bank (sorry, ich kann
nicht gut programmieren):


$ ./gen-konto.sh > possible-accs.txt
$ head -2 possible-accs.txt ; echo "---" ; tail -2 possible-accs.txt
70022200, 0071739000
70022200, 0071739001
---
70022200, 0071739999
70022200, 0071740000

Jetzt suchen wir uns die Account, bei denen die Prüfziffer stimmt:

$ ./konto_check possible-accs.txt
Teste die Konten in possible-accs.txt; Ausgabe nach blz_out.txt

$ grep ok blz_out.txt > correct-accounts.txt
$ head -2 correct-accounts.txt ; echo "---" ; tail -2 correct-accounts.txt
70022200, 0071739007: ok
70022200, 0071739015: ok
---
70022200, 0071739988: ok
70022200, 0071739996: ok


(Fortsetzung und Auflösung, was das soll, folgt um 19:00 Uhr)

Hallo realcoin,

> Bitte mit Anmerkung, was die Prüfzifferberechnung - aus deinem Link - für einen Zusammenhang hat.

kommt gegen 19:00 Uhr. Dann hatte die Fidor-Bank 50h, den Bug zu fixen bzw. zu entschärfen.


> ... Die Prüfziffersicherung von Kontonummern ...
>
> Daraus ergibt sich für mich als Laie noch nicht, dass die Bank bei Überweisungen die Konto Nr, BLZ etc angeben muss. Tun ja viele Banken
> auch nicht bis heute. Was anders ist ja die Sache mit dem Namen. Soweit ich das sehe.

Das geht in die falsche Richtung.
Aktuelles Problem (wieder mal nur aus meiner Sicht): Datenschutz

Update / Fortsetzung:

Es gibt hier http://sourceforge.net/projects/kontocheck/files/latest/download eine Software, die eine Kontonummer
einer beliebigen Bank in Deutschland auf ihre Richtigkeit überprüft.
Wer Lust hat und auch ein Konto bei der Fidor-Bank hat, kann die SW ja mal installieren.
Gibt es hier jemanden, der ein nicht per Post-Ident verifiziertes Konto bei der Fidor-Bank besitzt?
Bitte mich per privater Nachricht kontaktieren.

(Forsetzung folgt...)

trepex

Ich glaueb dass es hier um was anderes geht als die Pflicht der Angabe von Kto Nummer und BLZ.

Bitte mit Anmerkung, was die Prüfzifferberechnung - aus deinem Link - für einen Zusammenhang hat.


Daraus ergibt sich für mich als Laie noch nicht, dass die Bank bei Überweisungen die Konto Nr, BLZ etc angeben muss. Tun ja viele Banken auch nicht bis heute. Was anders ist ja die Sache mit dem Namen. Soweit ich das sehe.

Es scheint wieder mal niemanden bei der Fidor-Bank wirklich zu interessieren bzw. sie sehen das Problem nicht.
Beratung (von mir) wollen sie auch nicht...

Das Internet ist ja voll mit interessanten Infos zu allen möglichen Themen.
Auch die Bundesbank publiziert spannendes unter

http://www.bundesbank.de/Navigation/DE/Kerngeschaeftsfelder/Unbarer_Zahlungsverkehr/Pruefzifferberechnung/pruefzifferberechnung.html

(Fortsetzung folgt)