De Cactus huet et net sou mat Sécherheet…
D’ Cactuskaart … all regelméissegen Client vum Cactus dierft ewell esou eng hunn. En huet en ganz normalem Barcode, den eng Nummer duerstellt. Wosst dir dann och, dass ee sech um Site vum Cactus mat der Nummer alogge kann, do seng Donnéeën ännere kann an säin aktuelle Punktestand gesäit? Dat geet hei:
http://www.cactus.lu/page.asp?id=1139&langue=1
An wat ass d’ Passwuert beim éischte Login…? Vu dass ee keen esou eent uginn huet um Ufank wou een d’ Kaart krut, muss et jo eppes sinn wat de Client soss weess. An wéi soll et och anescht sinn, et ass d’ Nummer vun der Kaart selwer! Do fänkt et schonn emol ganz gutt un. Dann kënnt lo emol de Login:
Wann ee sech aloggt, gesäit een all seng perséinlech Donnéeën. Oftippen kënnen déi Leit och nach net (EMail Adress war uginn als …@photogem.cu … logesch!). Numm, Adress, Telefonsnummer, E-Mail an Gebuertsdatum. Ass dës Säit geséchert? Nee natierlech net, geet net mat SSL, also onverschlësselt an ouni Sécherheet, dass de User deen ass fir den e sech aus gëtt, an ëmgedréint.
Lo hu mer d’ Nummeren mol méi genee ënnert d’Lupp geholl. Gidd mol är Cactuskaart sichen, egal ob eng grouss oder eng kleng. Geet Är Nummer och un mat 0407001 oder 0407000? Bei deene meeschte Leit déi mir befrot hunn, ass dat emol de Fall. D’ Nummer ass am ganzen 13 Stellen laang, wouvun also déi éischt 6 schonn fest bekannt sinn an déi 7. ass, sou wäit mer bis elo wëssen, nëmmen eng 0 oder 1. Bleiwen der nëmmen nach 6 iwwreg. Kontinuéierlech ginn dës zwar net verginn wéi et schéngt, mä trotzdem sinn et der nëmmen 6, wat an eisem Zäitalter mat eisen Computeren, quasi näischt méi ass. Et kann och sinn dass nach eng Art Checksum drann ass, an dem Fall gëtt et nach méi einfach. Sollt ee vun iech esou eppes eraus fannen, kann en et jo gäeren hei mattdeelen.
U wéivill perséinlech Donnéeën géif ee wuel kommen wann een do sech géif e klengen Script schreiwen den déi Nummeren duerchgeet? Wuel ganz vill.
Georges Jentgen on 
June 10, 2010 « Xenplex's Blog on 
Johny G on 
Georges on
> @photogem.cu
gesäit no OCR aus, du wärts eng Schrëft hu wéi Säu
@Kwisatz
Et ass menger Frendinn seng Kaart, seng E-Mail ass och @photogen.lu an seng Schrëft ass typesch Meedechersméisseg – propper
Ech hun eis Kuarten lo grad duerchgeschnidden … Thanks Folks
Komesch dass si op hirem Site do wou d’Nummer vun der Kaart sou schéin Roud ëmrand ass eng Nummer hunn déi mat ’0 400506′ ufänkt.
Ech hat der klenger Kaarten eng Woch nodeems ech se vu menger Mam krut scho verluer.
Ech hunn deemools net vill drop ginn, hat mer geduecht dass wien se och ëmmer benotzt jo am Fong nëmmen kéint Punkten fir eis sammelen, an mir weider hin de Gewënn mat der grousser verbuchen kennen.
Mee wann een se fonnt huet, hat en jo ouni laang mussen ze testen direkt eng Valabel Konte-Nummer … dass een online eppes kann iwwerpréifen wosst ech bis lo mol net
Se kéinten wéinstens de Famillje-Numm als Passwuert huelen, obwuel wann den dann falsch ofgetippt ass: Pech domm gaang
Dir kënnt jo mol all är Kaart-Nr heihin posten, dann kënnen mer probéieren en Algorithmus erauszefannen. *hust*
Allerhand. Ech wollt lo mol direkt mäi Passwuert ännere goen. Ech hat keng Email ugin, mee wi ech wollt späicheren, kréien ech gesot, dat Feld wir obligatoresch. Mee gudd, datt së “keng@domain.invalid” akzeptéiren.
Achsoooo,
geseit effektiv no OCR aus, dofir kennt kee Spam iwer déi Email Adress
Merci Yuppi
Et muss een zwar fairnesshalber derbei soen dass sie d’Info iwer de login an PW a rouder Schreft op der login Seit ugin:
“Votre n° de client à 13 chiffres est inscrit au dos de votre carte. Il sera également votre mot de passe lors de votre 1ère connexion.”
An ech muss och zougin dass ech daat eréischt bei der 2. Kéier gesin/gelies hun wéi ech mech méi intensiv domadder befaast hun.
Ech sin do gewéinlech zimmlech mësstraueg bei sou Kaarten. Méng Kollegen op der Uni hun zu vill d’Tesco Clubcard. Do huet een nach méi perséinlech Donnéen wéi beim Cactus mussen ugin, dunn hun ech dat mol sin gelooss.
Johny, ech soen der merci fier desen Post,
den war lehrreich an huet engem erem fierun Aen gewiesen wei schnell Donneen hautesdachs an den emlaaf kommen koennen, an daat alles (wei emmer weinst inkompetent Leit), um link fier sech anzeloggen schreiwen se och nach schein an rouder faarw “Votre n° de client à 13 chiffres est inscrit au dos de votre carte. Il sera également votre mot de passe lors de votre 1ère connexion.”
Ech hun op jiddferfall meng donneen alleguer erausgeholl, an pw onverkenntlech geaennert.
PS : meng nummer huet och 407000 ugefaangen, ausserdem koennen d Donneen net nemmen geklaut an messbraucht gin, mais do kann och jenni an menni deng donneen aenneren, wei och dein passswuert aenneren ouni dass de nach drunner koenns.
@MUZ
Deng Donnéen hun se trotzdem. Cactus seet: Merci Muz, du kriss eis Reklammen trotzdem zougescheck!
Bei den Barcode handelt et sech wuel em den 13-ställegen EAN Barcode, do sin dei eicht puer Stellen eng Identification vum Hiersteller, also ass dat normal dass dei bei allen gleich ass, dozou och mei op: http://de.wikipedia.org/wiki/Strichcode an http://de.wikipedia.org/wiki/Global_Trade_Item_Number
An Deitschland, do ginn se vill Suen aus fir d’Clientsdonneeën ze kreien, hei get et se gratis. Mee effektiv ass et och nach schlemm dass een d’Donneeën kann änneren inklusiv Passwuert, soudass den Client mol nemmi zougreff drop kann hun. Wann se dovun lo och nach keen Backup hun, dann huet den Cactus domat all seng Clientsdonneeën verluer…
T’ass awer nawell eng Schwéngerei dat de Cactus mat eisen Données’en esou fräi ëmgeet.
An de Gogo virum Tom sin ech net
@Tom
Jo, et muss jo axwer informéiert bleiwen.
oh what a fail … mei fällt engem do net an nee? Dass sou eng Gesellschaft daat aaneren leit sou einfach mecht fir un d daten vun aaneren leit ze kommen daat ass jo schon baal kriminell nee?
@Nekel: Merci fir den Tipp. Déi 13. Stell léisst sech domat also aus deenen aneren 12 errechnen, erëm méi einfach fir Programméirer
Dat ganzt schéngt jo schnell d’ Ronn gemaach ze hunn, ech si mol gespaant wat do nach esou nokënnt. Ech fannen et awer scho mol gutt dass se beim Cactus elo relativ séier gehandelt hunn, an d’ Funktioun net méi ze erreechen ass. Respektiv: Besser hätt d’ Reaktioun bis elo wuel net kënne sinn…
Eng Cleintskaart as ee klassescht Instrument vum Marketing. Et gëtt agesaat fir Infomatiounen iwwert de cleint ze sammelen-dat as schon emmer sou. Ween do net drop kënnt selwer schold. Wie vun iech as op facebook? Do stieche vill méi brtisant Infos dran wi an enger Cactus kaart. An de Cactus huet bestemmt keng Relatiounen mat CIA an soss Iwwerwaachungsdengschter. Also et kann een och aus enger Meck en Elefant man.
@Caramba
Et geet jo guer net drëm dass si déi Donnéeën hunn an halen, domat sinn déi Client’en jo averstan. Mä hei geet et drëm dass dee System sou onsécher ass/war, dass all Hobbyprogramméirer locker hätt un dausende vun deenen Donnéeën kommen. An dat ass bei Facebook an deenen all awer net de Fall, an huet guer näischt ze dinn domat dass perséinlech Donnéeën gesammelt ginn.