Diese Frage wartet auf Beantwortung

Warum muss ich meinem Login-Name aufgrund "technischer Modernisierungsmaßnahmen" ändern?

Bei der Anmeldung im bahn.de-Portal werde ich aufgefordert meinen Login-Namen aufgrund "technischer Modernisierungsmaßnahmen" zu ändern. Mein Login-Name entspricht den im Portal beschriebenen Kriterien und ich habe kein Interesse an der Änderung meines Login-Namens.

mhartman
mhartman

mhartman

Ebene
0
11 / 100
Punkte

Antworten

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

Das liest sich für mich nach Phishing. Haben Sie eine Mail erhalten, in der dies verlangt wird?
Oder erhalten Sie diese Aufforderung, wenn Sie http://www.bahn.de aufrufen und sich dann einloggen wollen?

mhartman
mhartman

mhartman

Ebene
0
11 / 100
Punkte

Nein, keine Fishingmail sondern die Meldung kommt nach dem Login auf http://www.bahn.de

kabo
kabo

kabo

Ebene
4
5000 / 5000
Punkte

Enthält Ihr Login eventuell Ihre Email-Adresse?

(Es lief eine Betrugsaktion, bei der Hacker Daten bei Email-Providern gestohlen haben, dann damit bahn.de-Accounts geentert haben, teure Tickets per Lastschrift bestellt und sofort storniert haben, und dann die erhaltenen Storno-Gutscheine zu Geld gemacht haben. Obwohl der Hackerangriff gar nicht bei der DB stattfand, ist bei der DB letztendlich ein Millionenschaden entstanden. Dieser Betrug kann eigentlich nur bei den bahn.de-Konten funktioniert haben, die als Login die eigene Mail-Adresse haben, oder zumindest einen Login-Namen, den man leicht erraten kann, wen man die Mail-Adresse kennt.)

Hallo mhartman,

ich habe mich gerade eingeloggt. Allerdings wird mir diese Meldung nicht angezeigt. Bitte senden Sie, zur Überprüfung, eine Bildschirmkopie dieser Meldung an: fahrkartenservice@deutschebahn.com /ka

kirroyal
kirroyal

kirroyal

Ebene
3
2791 / 5000
Punkte

@kabo:
Den Login-Namen teilt die DB-Website bereitwillig mit, da muss man gar nicht groß raten. Für die Funktion "Benutzername vergessen" reicht Vorname, Nachname und E-Mail-Adresse. Alles Daten, die man schnell im gehackten Mail-Postfach findet. Genau wie "Passwort vergessen", dafür reicht E-Mail-Adresse, Login-Name (hat man ja jetzt) und wahlweise Kundennummer ODER Antwort auf eine Sicherheitsfrage. Die Kundennummer findet man ebenfalls in alten Buchungsbestätigungen im Postfach.

@kirroyal, die Sicherheitsfrage ist aber nicht so leicht zu knacken, da diese persönlicher Natur ist.
Leider ist dies beim Kundenkonto derzeit optional und muss vom Kunden selbst aktiviert werden statt es zum Pflichtfeld zu machen.

Mit Sicherheitsfrage sollten die Hacker trotz Name und E-Mail, nicht so einfach ins Kundenkonto kommen.

Ich hoffe inständig, dass die IT der Bahn an einem neuen Konzept arbeitet, um solche Dinge nicht nocheinmal passieren zu lassen.

Leo
Leo

Leo

Ebene
4
5000 / 5000
Punkte

"Ich hoffe inständig, dass die IT der Bahn an einem neuen Konzept arbeitet, um solche Dinge nicht nocheinmal passieren zu lassen."

Das könnte so einfach sein:

Keine Gutscheine mehr, sondern Rückerstattung auf gleichem Weg wie früher...

@Leo, mein Reden. :-) Aber dennoch muss aufgrund dieses Ereignisses nachhaltig gehandelt werden.

Einfach die Zahlungsmethoden zu eliminieren ist zu kurz gedacht und nicht nachhaltig. :-(

kirroyal
kirroyal

kirroyal

Ebene
3
2791 / 5000
Punkte

Die Sicherheitsfrage (sofern überhaupt eingerichtet) lässt sich aber umgehen, indem man *stattdessen* die Kundennummer angibt. Und die findet man im geknackten E-Mail-Konto. Was ich damit sagen will: Man hat zwar versucht, eine zusätzliche Sicherheitsebene zu implementieren, diese läuft aber ins Leere.

Andere Dienste, bei denen im Account Zahlungsdaten hinterlegt sind, führen bei vergessenem Passwort z.B. eine 2-Faktor-Authentifizierung über die (natürlich nicht änderbare) Handynummer aus. Schlägt diese fehl, werden die Zahlungsdaten aus dem Konto gelöscht oder (noch besser) das Konto wird erstmal gesperrt, sodass der Hacker keinen Schaden anrichten kann und der rechtmäßige Nutzer bei seinem nächsten Login-Versuch erkennt, dass etwas nicht stimmt.

Was die Übersendung des Gutscheincodes angeht: Diesen könnte man ebenfalls an die hinterlegte Handynummer senden oder z.B. auch im Buchungstext einer 1-Cent-Überweisung auf das zur Zahlung verwendete Konto. Damit wird die gefährliche Situation "Rückerstattung erfolgt auf anderem Weg als Zahlung" von vornherein vermieden.

--> "Die Sicherheitsfrage (sofern überhaupt eingerichtet) lässt sich aber umgehen, indem man *stattdessen* die Kundennummer angibt. Und die findet man im geknackten E-Mail-Konto." <--

Hier müsste der Sicherheitsmechanismus mit der Sicherheitsfrage natürlich auch bei der Kundennummer greifen, eigentlich sobald man über den Hilfebutton das Passwort, den Nutzernamen oder anderes zurücksetzen lassen möchte. Ansonsten ist sie, wie du schon schriebst, sinnfrei.