Habe ich schon lange nimmer gemacht, aber ich denke, es ist mal wieder an der Zeit, mich im QFRAT über die Unfähigkeit der Welt im Allgemeinen, und einiger sehr kurioser Exemplare darin im Speziellen aufzuregen.
Der wirkliche Hammer kommt erst ganz am Ende, die Ungeduligen können also auch einfach bis zum
* scrollen. ;O
Gegenstand: Eine weltweit operierende Bank namens "Citibank". Diese will, dass Kunden ihr genug vertrauen, um ihr viel Geld zu borgen. Wie alle Banken.
Wie aber bisher keine zweite Bank, die mir untergekommen ist, fand sie es einen guten Schritt auf diesem Weg, ihren gesamten Webauftritt offensichtlich unter das Kommando eines dressierten Pudels zu stellen – und eines eher dummen noch dazu.
Aber von vorn: Ich habe dieses Jahr am Google Summer of Code teilgenommen, wo man eine recht nette Summe für etwas Programmierarbeit bekommt. Das Programm ist für Studenten weltweit verfügbar, wodurch sich naatürlich für Google immer die Frage der Bezahlungsart stellt. Dieses Jahr bekamen wir eine Kreditkarte (bzw. Prepaid-Karte, oder wie auch immer jetzt genau) zugeschickt, die mit den jeweiligen Bezahlungen aufgeladen wurde.
Eine Karte, man ahnt es evtl. schon, einer Institution namens "Citibank". Das war damals im April.
Die Karte wurde mit einer netten kleinen Broschüre geliefert, in der stand, welche ersten Schritte man am besten geich unternehmen sollte. Punkt 1 davon, man solle sich online unter
https://www.prepaid.citi.com/ anmelden. Geht ruhig auf die Seite. Oder versucht es zumindest – sie ist von außerhalb Nordamerikas praktisch unerreichbar.
Also schonmal der erste leichte Minuspunkt für eine "weltweite" Bank – der zentrale Informationspunkt ist nur für Nordamerika erreichbar. In den Google-Foren regten sich scharenweise Studenten auf, bis schließlich herausgefunden wurde, was der Fall war und dass ein Proxy die Lösung sei. Hier wären Nicht-Informatiker wohl schon gescheitert, aber gut.
Nachdem alle Zeit hatten, das auszuprobieren, waren die Google-Foren ein weiteres Mal gefüllt, diesmal weil die Seite zwar angezeigt wurde, aber schlichtweg bis zur Unbenutzbarkeit verbuggt war. Bei Formularen, die man ausfüllen musste, waren benötigte Felder im Source-Code als versteckt markiert (und wurden daher erst gar nicht angezeigt, obwohl eben eine Eingabe erforderlich war), die einzugebende Adresse wurde nicht akzeptiert, etc.
Einer der Studenten rief dann die Hotline an, bzw. gleich ein ganzer Haufen. Bei alle bis auf einen verzweifelten die Hotline-Leute ebenso und boten so eher Sympathie als eine wirkliche Lösung, aber einem wurde dann eine zweite Seite genannt, auf der man sich ebenfalls anmelden konnte und die gleichen Funktionen hatte.
Und zwar
https://www.myecount.com/. Eine Seite also, die eine komplett andere Domain hat und bei der nichts außer ein paar Worte und ein Logo rechts unten darauf hinweisen, dass sie irgendwie mit Citibank in Verbindung steht. "Geben Sie bitte hier ihre geheimen Kreditkarten-Daten ein – keine Angst, dies ist kein Phishing-Versuch!"
War es natürlich wirklich nicht – jeder Zwölfjährige mit HTML-Grundkenntnissen und einem Buch über Phishing könnte in zwei Stunden eine bessere Phishing-Seite programmieren! x__X
Daher, und weil die Seite mehrmals offiziell bestätigt wurde, versuchte ich eben dort mein Glück (Die Seite ist übrigens auch nur über einen Proxy zu erreichen – nicht dass jemand glaubt, das wäre die Seite für internationale Kunden! Die gibt es nämlich nicht, Welt = USA.). Auch hier waren zwar etliche Bugs zu bemerken, aber das erste Mal auch zumindest ein kleiner Hauch von Professionalität. Immerhin musste das Passwort, das nur aus Buchstaben und Zahlen bestehen durfte, 8 Zeichen lang sein, was offensichtlich reicht! Außerdem musste man noch eine von vier Sicherheitsfragen (allesamt auf der dämlicheren Seite von dämlich) auswählen und die Antwort eingeben, mit der man sich später ein neues Passwort zuschicken konnte. Das letztgenannte hielt ich damals für ebenjene Professionalität.
Ahja, nur ein weiterer Makel war da noch: Wenn man einen Link in einem neuen Tab/Fenster öffnete, wurde man automatisch ausgeloggt. o_O Ich nehme an, dafür war ein Team von mehreren Programmierern wochenlang beschäftigt, um das ordentlich hinzukriegen – aber das war es wohl wert, das coolste Seiten-Feature aller Zeiten zu haben. It's not a bug, it's a feature!
In dem Fall wirklich, so ein Bug könnte gar nicht unabsichtlich passieren…
Nun gut, das war wie gesagt im April und seitdem habe ich mich eigentlich komplett von der Seite ferngehalten. Google zu glauben, dass sie mir das Geld schon überweisen werden, war die eindeutig bessere Option, als sich wieder mit dem Ding rumzuquälen. Doch heute wollte ich dann doch mal nachschauen, wie mein aktueller Kredit ist, nachdem ich auch schon was abgehoben habe und diese Aktion mit einem undurchschaubaren Netz aus drei verschiedenen Gebühren und einem durch Roulette bestimmten Wechselkurs verwoben ist.
Erste Erkenntnis (nach Einstellen des Proxys und Abschalten aller anderen internetverwendenden Programme, um überhaupt so weit zu kommen): Die Seite nimmt mein Passwort nicht. Keine Ahnung, wieso.
Aber gut, eventuell habe ich mich damals einfach sowohl beim Passwort, als auch bei der Kontrolleingabe identisch vertippt. Kann passieren. Auch wenn ich es bei dieser speziellen Seite doch leicht wahrscheinlicher finde, dass sie irgendein verstecktes Super-Feature haben, dass das Passwort automatisch alle zwei Tage auf den Namen einer zufälligen Figur aus den Simpsons gesetzt wird, o.ä.
*Egal, dazu gibt's ja die "Passwort vergessen"-Funktion – die wegzulassen haben sich nicht mal die Typen getraut! <__<" Allerdings haben sie dafür bei der Implementierung echt nichts anbrennen lassen. Normal wäre es, dass man seine Mailadresse und/oder seinen Benutzernamen eingibt. Aber nein, das ist ja nicht sicher genug! "abcd1234" als Passwort,
das ist sicher, aber Mailadresse und Benutzername um ein neues Passwort zugeschickt zu bekommen? Pfff…
Nein, man muss die berühmte Sicherheitsfrage beantworten. Hätte ich gleich gewusst, dass die nur dafür ist, dass ich eine Mail mit einem Passwort bekomme, die eh nur ich lesen kann, hätte ich wohl keine solche Sorgfalt reingesteckt. Aber davon hatte ich keine Ahnung, und so habe ich "Mother's maiden name" als Frage genommen und ihren gesamten Namen eingegeben, 26 Zeichen. Dass ich das getan habe, habe ich mir extra aufgeschrieben (aber natürlich nicht den exakten Text), sowas vergisst man ja. So wusste ich das jedenfalls, gab die Sicherheitsantwort ein…– oder versuchte es zumindest. Das Textfeld hatte eine Zeichenbegrenzung von 25 Zeichen.
Hm…
Ahnt ihr was?
Ich habe erst versucht, nur die Vornamen einzugeben, dann, ob ich vielleicht damals auch den letzten Buchstaben nicht eingeben konnte und es nur nicht bemerkt habe. Aber nein, es blieb dabei, "False security answer".
Bei jeder anderen Webseite (außer vielleicht RPG², aber das ist eine andere Geschichte…;P) hätte ich jetzt gedacht, ich hätte einen Fehler gemacht und mir irgendwas falsch gemerkt/aufgeschrieben. Aber bei der Seite?
Ich habe jetzt also über Greasemonkey (ein Firefox-Plugin, für die Unwissenden) ein Script geschrieben, um die Zeichenbegrenzung des Feldes zu erhöhen. Ich aktiviere es, gebe den vollen Namen ein, sende ab - TADA, akzeptiert.
Sie hatten tatsächlich bei einer der zentralen Stellen ihres Sicherheitssystems einfach eine willkürliche Zeichenbegrenzung festgelegt – und zwar nicht mal einheitlich, sondern ganz zufällig, je nachdem, wo man gerade war. Ich kann mir echt nicht vorstellen, wie man auf diese Idee kommt, aber es muss wohl ein wirklich, wirklich kranker Mensch gewesen sein. Oder Pudel. x__X
Ganz zu Ende ist die Geschichte eigentlich noch nicht: Ich habe das neue Passwort erfolgreich verwendet, dann das Passwort auf mein altes gesetzt, wieder versucht mich einzuloggen – und es ging wieder nicht. Was mich zu der Vermutung führt, dass, obwohl hier die Zeichenbegrenzungen in allen Eingabefeldern 50 Zeichen war, die Datenbank eventuell nur 30 Zeichen für die Passwörter zur Verfügung hat. (@ Materiennahe: Ja, die werden sicher in Klartext gespeichert, glaubt mir! Bei denen sicher!)
Mit einem kürzeren Passwort, das ich normal gerade mal für lokale Spielereien verwenden würde, hat es dann endlich wirklich geklappt. Aber irgendwie ist das bei weitem nicht der einzige Grund, warum ich mich nicht sehr sicher fühle, mit meinem Geld bei Citibank. x__X Gut, dass der Dollar im Moment eh fällt, da sollte ich sowieso alles abheben…<___<"
Hm, im Nachhinein liest sich das wirr, langatmig und uninteressant, aber jetzt wo ich's schon mal getippt habe, schicke ich das auch ab.
Vielleicht hält es immerhin irgendwen mal davon ab, sich eine Kreditkarte von Citibank zuzulegen. x__X
Kontrollzentrum
Zitat von mq
Ich hab mir das jetzt nicht alles durchgelesen -- hast du dein Geld am Ende gekriegt?
Berechtigungen
