win2day Konto leer geräumt - Collection #1 bis #5

win2day Konto leer geräumt - Collection #1 bis #5 (112 Beiträge, 4411 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo Foren-Kollegenschaft!

Leider ist mir heute selbst passiert, was ich als versierter User nicht für möglich gehalten hätte.

Jemand ist wohl über eine der geleakten User-Datensammlungen "Collection #1, etc." an meine Benutzerdaten für win2day gelangt.

Dieser jemand hat scheinbar schnell mal das Referenzkonto geändert und kurz gefasst das gesamte Konto leer geräumt und an ein Deutsches Konto (scheinbar Deutsche Handelsbank in München) überwiesen. Ziel-IBAN ist mir von win2day bekannt gegeben worden.

War mir nicht bewusst, dass sich das Konto so leicht und ohne Rückfrage bzw. SMS-Bestätigung o.ä. abändern lässt...

Ging leider um eine signifikante Summe... sehr schmerzhaft.

Werde morgen mal zur Polizei gehen und eine Anzeige machen, erwarte mir aber daraus nicht sehr viel.

Gibt es konstruktive Vorschläge, den Schaden zu minimieren?
Bin mir gerade nicht schlüssig, was eine zielführende Vorgehensweise sein könnte?

Danke und Grüße!

--------------------

Update:
Derzeitige Lösung sowie Einschätzung Anwalt (mit Fokus auf Internetrecht) siehe unten... (11.2.2019, 15:45h)

11.02.2019, 19:00 Uhr - Editiert von John12, alte Version: hier

Arge Geschichte! Hast du das win2day-Passwort auch auf anderen Seiten verwendet?

Ich würde einerseits die Polizei einschalten, was du ja tust. Da müsste doch etwas zu machen sein, wenn das Geld auf ein deutsches Konto überwiesen wurde.
Andererseits würde ich mich auch an win2day wenden, vielleicht lässt sich das Geld noch irgendwie zurückholen oder sie sind versichert o.ä.?

Ist die Frage wer da eigentlich haftet...win2day wurde zwar nicht gehackt, aber trotzdem wurde ohne dein Verschulden dein Account missbraucht. Wahrscheinlich niemand...

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Wobei es - ohne dem OP irgendwas zu unterstellen! - auch spannend waer, ob Mehrfachverwendung von Login-Daten heutzutag nicht schon als (grob? - kenn die rechtlichen Begriffe nicht wirklich!) fahrlaessig anzusehen ist und damit irgendwie ein Mitverschulden verursacht?
Gruss in die Leere,
j.

Na klar kann man die Frage stellen - kann ich auch nicht beantworten... weiß auch nicht, ob sie schon mal früher durch die Rechtsprechung beantwortet wurde...

Allerdings kann man auch die Frage auch in die andere Richtung stellen, warum die Änderung eines Referenzkontos auf einen anderen, fremden Namen/Eigentümer einfach und unkontrolliert passiert... und ob auch nicht auch das fahrlässig ist (weil es am Ende genau zu dieser leidigen Situation führt)?

Wenn man jetzt noch "Schutzwürdigkeit" Konsument vs. Konzern mit in die Diskussion bringt (immerhin gibt es ein Schutzgesetz für den Konsumenten), denke ich, dass die Ausgangslage vielleicht gar nicht so schlecht ist...

Anyway, mal sehen, wie sich die Sache entwickelt...

Vielleicht muss am Ende ein Gericht genau diese Frage klären...

Na ich wuensch Dir diesbezueglich viel Erfolg!

- und schreib doch bitte gern (falls es das GHF dann noch gibt..), wie es ausgegangen ist, ich waer da sehr neugierig!

Besten Gruss, schoenen Abend,
j.

glaub ich nicht, wobei ich weder Sachverständiger noch Richter bin. Die Plattform hat ebenso Verantwortung wie der Konsument, die sichern ihre Infrastruktur ja sehr gut ab, warum sorgen sie also nicht dafür das die Zugänge ihrer Kunden auch gut geschützt sind, zb "zwingen" den Kunden zur einer 2 Faktor Authentifizierung ?

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

man müsste vom ordentlichen maßmenschen ausgehen.
und trotz 2019 is es nur einem verschwindend geringen teil der menschen bewusst, dass man net überall die gleichen credentials verwenden sollt.
ich sag daher: net fahrlässig.

lol, ja genau.
win2day ist schuld dass er nicht auf seine zugangsdaten aufpassen kann.

noch irgendwelche tolle ideen?

win2day ist schuld dass er nicht auf seine zugangsdaten aufpassen kann.

Inwiefern hat er auf seine Zugangsdaten nicht aufgepasst? Wer noch nie ein Passwort an mehreren Stellen genutzt hat, werfe den ersten Stein...

wenn er dort eine hohe Summe liegen hat, dann sollte das Passwort auch dementsprechend einzigartig sein.

Is ja ned so, als würden sämtliche Medien nicht alle paar Wochen prädigen, man soll nicht überall dasselbe Passwort setzen.

Aber klar, nur ja nicht die Schuld bei sich selbst suchen.

Natürlich hätte er die Sache unter Umständen verhindern können. Du tust aber so, als wäre er der allein schuldige...

Da gibt es aber noch:
- Die Hacker, die nicht nur die Daten kopiert sondern auch noch veröffentlicht haben.
- Die Betreiber der Seiten, deren Daten gestohlen wurden, und die ihre Passwörter im Klartext speichern und/oder unzureichende Sicherheitsmaßnahmen getroffen haben.
- Win2day, die keinen ausreichenden Schutz vor Änderung der E-Mail-Adresse oder Kontonummer haben.

Leider eine Ansammlung von Umständen... die in Kobination das Problem verursacht...

*) Passwort in einem Passwort Manager gespeichert - schon länger nicht geändert.
Richtig, vielleicht kein besonders komplexes Passwort verwendet - immerhin aber 8 Stellen, Zahlen+Buchstaben kombiniert... kein Wort (also kein dictionary approach möglich).
Ja, möglich, dass Email/PW auch bei einem anderen Account in Verwendung war

*) Kurzfristig, für ca. 3 Wochen, vergleichsweise hohe Summe am besagten Konto liegen gehabt

*) Email/PW sichtlich vor kurzem (Jänner 2019, Collection #1) geleakt.

*) Referenzkonto von den Angreifern ohne weitere Authentifizierung oder SMS verändert worden - auf ein fremdes, nicht mit meinem Namen übereinstimmendes, Konto wohlgemerkt überwiesen!
Ohne Sicherheitsabfrage oder EMail.

*) Überweisung an fremden Account ohne zusätzl. Sicherheit (z.B. 2-Faktor Authentifizierung) erfolgt.

Wichtig anzumerken: Ein Email mit Link zur Bestätigung bei IRGENDEINEM dieser Schritte hätte das Problem verhindert (weil EMail z.B. anderes PW verwendet) --> ist aber an keiner Stelle erfolgt!

Ist mir schon klar, dass es mit penibler Sicherheit, "einzelne Email/PW Kombination für WIRKLICH JEDEN EINZELNEN Account" wohl verhinderbar (oder schwieriger) gewesen wäre.

Glaube allerdings nicht, dass irgendeiner der obigen Punkte nicht auch dem Internet-Normaluser entspricht... oder im speziellen ungewöhnlich sind...

Und ob Dir, TuxTux, das nun in meinem Fall gefällt oder nicht, das Gesetz schützt nun mal Konsumenten (weil der Schwächere) stärker... in anderen Lebenslagen bist du wohl auch froh darüber...

Auch suche ich keine "Schuld", sondern Mitverantwortung eines Unternehmens, um meinen Schaden zu reduzieren... ganz normal in der Wirtschaft (Autoversicherung Deines Gegners wird auch bei dir Mitverantwortung oder Fehler suchen, um die eigene Zahlung zu reduzieren)... That's life... Und meiner Meinung kann man argumentieren, dass in dem konkreten Fall Mitverantwortung besteht.

Aber mal sehen, wie es weiter geht... sollte es soweit kommen, entscheiden am Ende andere darüber...

07.02.2019, 14:29 Uhr - Editiert von John12, alte Version: hier

immerhin aber 8 Stellen, Zahlen+Buchstaben kombiniert... kein Wort

womit du mehr getan hast als 99% aller Internetuser...aber eh scho wissen, wir sind im GH Forum...hier nutzt JEDER Sätze mit mindest 250 Wörter und erstellt sich aus jedem zweiten Buchstaben dieser 250 Wörter ein leicht zu merkendes Paßwort - und das für ALLE seine KOnto SELBSTVERSTÄNDLICH mit nem anderen Satz der mind. 250 Wörter umfasst.

IM Endeffekt bin ich auch der Meinung das du selber schuld bist, ich denke du solltest eine Selbstanzeigen machen, trotzdem sollte man dich mind. 10 Jahre einsperren.

Seit ich mein Passwort auf dont*PIEP*BOFH2038 geändert habe, habe ich keine Probleme mehr

Ist sie pokern... 😀

Gruß Sonic The Hedgehog

Wer noch nie ein Passwort an mehreren Stellen genutzt hat, werfe den ersten
Stein...

ICH!!

Ich habe ein MasterPW welches ich immer an die Seite drannhänge:

EbaySuperfast
GeizhalsSuperfast
usw..........

Nur ist SU nicht das MasterPW

--------------------------------------------------------------------------------------------------------------- Eine Heuschrecke ist ja lieb, Tausende sind es nicht

Also entweder entspricht das nicht der Wahrheit, womit dein Posting sinnfrei wäre, oder du hast an dieser Stelle offenbart, wie man bei Kenntnis eines einzigen deiner Passwörter auf sämtliche andere kommt, was letztendlich nur einen kleinen Mehrwert gegenüber jenen Nutzern darstellt, die nicht den Einsatzort an ihr Standard-PW anhängen.

Selbst ohne der an dieser Stelle offenbarten Information muss man als Angreifer kein Genie sein, um auf eine solche Verknüpfung zu kommen.

Selbst ohne der an dieser Stelle offenbarten Information muss man als
Angreifer kein Genie sein, um auf eine solche Verknüpfung zu kommen.

Das dienst ja nur wenn eine Seite gehackt wurde, und man für alle Seiten das selbe PW hat, die Phösen dann überall reinkommen könnten.

wie man bei Kenntnis eines einzigen deiner Passwörter

Haha machmal kommt das MasterPW auch vorne drann

Tip: mein PW ist 32 stellig mit Sonderzeichen, eh leich zu knacken

--------------------------------------------------------------------------------------------------------------- Eine Heuschrecke ist ja lieb, Tausende sind es nicht

Tip: mein PW ist 32 stellig mit Sonderzeichen, eh leich zu knacken

Wenn nur eine einzige deiner Websites leakt, sind sämtliche deiner Logins gefährdet, sprich die zusätzlich von dir eingebaute Hürde ist für Angreifer nur ein unwesentliches Hindernis, die (natürlich automatisiert) viel zu leicht übersprungen werden kann, wobei ich davon ausgehe, dass genügend andere Leute das so wie du handhaben, es also zum abgedeckten Standardrepertoire eines Angriffs zählt.

Ergo kann das PW noch so gut sein, es ändert nichts am Gefährdungspotential, welches durch die gewählte Methode außerhalb deines Einflussbereichs verfrachtet wurde.

Allerdings kann ich gut verstehen, dass eine nachträgliche Änderung mühsam ist (und auch seine Tücken hat).

*werf*

.
.
.

*KLONK*

Seit du im Internet vertreten bist noch nie ein Passwort zwei mal verwendet? Respekt. Damit bist du sicher in der extrem kleinen Minderheit.

Ich mach das leider erst seit einigen Jahren.

08.02.2019, 18:28 Uhr - Editiert von mko, alte Version: hier

>>Seit du im Internet vertreten bist noch nie ein Passwort zwei mal verwendet?

In der Tat nicht. Hab grad mein password.txt gecheckt (erinnert sich noch wer an SMS.at ?)

Ich bin aber auch noch nicht lang im Internet - erst seit Mitte 90er (Win3.11 und Netscape Navigator 3.1 ... mit tcp.dll in DOS vorladen .. ].

Online kann ich mich auch nicht daran erinnern, jemals das gleiche PW verwendet zu haben, allerdings deckt das jetzt schon einen Zeitraum von mehr als 25 Jahren ab und gerade in der Anfangszeit gab es nur bescheidene Möglichkeiten fürs sichere PW-Management, weshalb ich's nicht ganz ausschließen kann.

Wenn Du den Schlüssel für ein Schließfach verlierst und jemand räumt dein Schließfach aus, ist auch nicht die Bank schuld.

und jemand räumt dein Schließfach aus, ist auch nicht die Bank schuld.

doch.
Wer öffnet dir denn die Tür zum Tresorraum?

mfg
AVS

kann den bitte wer rufen?

https://www.konsument.at/geld-recht/bankschliessfach

…………………………………………………………………………………………………………………………………………………………………
Wenn ich auf Provokationen nicht reagiere, liegt das wohl daran, dass ich sie dank "Plonk" nicht sehen kann.

Faustregel: 1 Langstreckenflug emittiert (pro Passagier) so viel CO₂ wie 1 Jahr Autofahren (pro Auto)

Jo mei dann hinkt der Vergleich halt... bissl mitdenken! Ist doch klar, was ich mein

Um bei deinem seltsamen Beispiel zu bleiben:

Er hat ihn aber nicht verloren. Er hat den gleichen Schlüssel für 2 verschiedene Bankschließfächer verwendet und bei einer anderen Bank aufbewahrt. Diese andere Bank hat sich den Schlüssel leichtfertig stehlen lassen.

Und zusätzlich hat die Bank beim Wunsch des Diebes, das Bankschließfach schließen zu wollen und alles mitzunehmen, nicht einmal gefragt ob er überhaupt der Besitzer ist.

Wissen wir, dass win2day die Zugangsdaten nicht "verloren" hat?
Und wissen wir, dass er nicht genug auf seine Zugangsdaten aufgepasst hat (z.B. Hack bei einem PW-Manager Service)?
Wenn ja, woher?
Wenn nein, dann ist es wohl zu früh ihm zu unterstellen, dass er auf seine Zugangsdaten nicht aufgepasst hat.

Sehe ich auch so. Imho hat win2day da schon etwas Erklärungsbedarf.

Wenn sie schon mit 2-factor-Authentifizierung nichts am Hut haben, dann wäre wenigsten ein bisschen Fraud Detection nett. Wenn das Referenzkonto eines Wettkontos mit einem höheren Betrag von einem österreichischen auf ein deutsches Konto geändert wird (wobei das Spielen ja eigentlich nur für in Österreich wohnhafte Personen erlaubt ist), dann sollte vielleicht schon ein Alert aufpoppen und eine nähere Kontrolle initiiert werden. Ja, ich weiß, Österreicher können auch deutsche Konten haben (DKB usw.) ist aber wohl nicht so der Normalfall.

Mir hat einmal in Kuba jemand meine Mastercard kopiert (laut MC wurde der Magnetstreifen kopiert) und ein paar Tage später damit ein paar größere Einkäufe in einem kroatischen Elektronikmarkt gemacht. Das fiel sofort auf, MC hat bei mir nachgefragt, danach die Karte gesperrt und mir eine neue gemacht. Der Workflow war perfekt und niemand machte annähernd blöde Bemerkungen, dass ich vielleicht nicht gut genug auf die Karte aufgepasst hätte.

Danke für die Info
hab gerade meine Mailadressen überprüft und raus gefunden, das ein paar alte Dienste die ich mal genutzt habe, betroffen sind

da werden heute Abend ein paar neue Passwörter generiert werden!

Gruß Sonic The Hedgehog

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Es wäre noch wichtig zu wissen, ob die Kombination Mail, Passwort und Dienst in den datensammlungen war oder ob der Angreifer deine Mail und dein Passwort einfach bei allen möglichen Diensten durchprobiert hat.

Die Frage ist nämlich, ob die win2day datenbank gehackt wurde, oder ob du einfach nur bei mehreren Diensten dasselbe Passwort verwendest.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Aaaaach, bin ich beruhigt.
Ich hab's kontrolliert - meine 60 Cent sind immer noch oben.

07.02.2019, 13:08 Uhr - Editiert von c.banhegyi, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Warst du schon bei der Polizei und was hat ist dort passiert?

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Erstes Update:
Heute Anzeige gegen Unbekannt bei lokalem, kleinem Polizeiposten gemacht.

Eine recht freundliche, junge Beamtin hat alles soweit aufgenommen.
Die junge Dame ist mit dem Internet aufgewachsen und kannte sich ganz gut aus und hat die Situation auch gleich gut verstanden.

Entsprechende Dokumentation aus dem vorhergehenden Mailverkehr mit dem Support konnte ich vorlegen.

Daten (speziell die deutsche Fremd-/Empängerkontonummer) werden jetzt wohl an anderer Stelle geprüft.
Nach meinem Verständnis werden die Kontodaten weiter vom PKZ (Polizeikooperationszentrum Passau?) weiter geprüft.

Weitere Schritte passieren in Abhängigkeit vom Überprüfungsergebnis.

Danach geht das Thema an die Staatsanwaltschaft, die entsprechend der weiteren Erkenntnisse das weitere Vorgehen festlegt.

Zwischen den Zeilen wurde mir aber gleich mitgeteilt, dass die Erfolgsaussichten überschaubar sind... habe hier auch keine Wunder erwartet - geht hier mehr um die Dokumentation...

Inzwischen starte ich die parallelen Aktivitäten... (z.B. Anwalt, AK, Internet-Ombudsmann,...)

Seitens dem besagten Unternehmen nach gestriger Kommunikation keine Reaktion auf meine Fragen zur weiteren Abwicklung.

Danke für das Update! Gut dass sie es weiterverfolgen, nicht so gut dass die Erfolgsaussichten überschaubar sein sollen. Bitte halte uns auf dem Laufenden!

Dieser jemand hat scheinbar schnell mal das Referenzkonto geändert und kurz
gefasst das gesamte Konto leer geräumt und an ein Deutsches Konto (scheinbar
Deutsche Handelsbank in München) überwiesen. Ziel-IBAN ist mir von win2day
bekannt gegeben worden.

Und logischerweise hat der Betrüger die SMS TAN auch zu seinem Handy geschickt?

Finde jede Änderung(Adresse, Referenzkonto, TelNr) benötigt eine TAN, wenn nicht ist das schwach von einer Plattform bei der es um viel Geld geht!

Habe grad beim Bankkonto nachgeschaut, ALLES jede Änderung braucht eine SMS TAN

Bin mir gerade nicht schlüssig, was eine zielführende Vorgehensweise sein
könnte?

Was sagt w2day?
--------------------------------------------------------------------------------------------------------------- Eine Heuschrecke ist ja lieb, Tausende sind es nicht

07.02.2019, 18:23 Uhr - Editiert von Superfast, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Richtig, bei keiner der besagten Änderungen kommt Email mit Link, SMS mit TAN oder ähnliches.

Ist mir auch erst jetzt bewußt geworden, dass all diese Änderungen ohne Bestätigung klappen...

w2day sagt die letzten 24h noch nichts...

PS:
Wurde auch informiert, dass in einer gewissen Zeit mehrere Zugriffe von ausländischen IPs auf mein Konto protokolliert wurden.
Wollte gerade zufällig über VPN (Astrill USA) auf mein GMX Konto zugreifen - sofort Hinweis auf ungewöhnliche Anmeldung und Sicherheitsfrage gekommen...
Bei Google ist es ja ähnlich... Google mault auch, sobald was ungewöhnlich ist...

Hier in meinem Fall ist auch das nicht passiert...

Je länger das Thema sickert, desto mehr komme ich zum Schluß, dass andere Websites wesentlich bessere Sicherheitsvorkehrungen haben...

Gut für meinen Fall...

Ist mir auch erst jetzt bewußt geworden, dass all diese Änderungen ohne
Bestätigung klappen...

Das ist Straflässig vom Betreiber!

Gut für meinen Fall...

Glaube ich auch, das du vor Gericht sehr gute Chancen hast, die den Betreiber der Plattform zu mehr sorgfaltspflicht verdonnern.
--------------------------------------------------------------------------------------------------------------- Eine Heuschrecke ist ja lieb, Tausende sind es nicht

Das ist Straflässig vom Betreiber!

Du bist auch "Straflässig"

Ggfs könnte die Vorgangsweise (ohne Prüfung) ein Verstoß gegen die Geldwäschevorschriften sein.

Liebe Forums-Kollegen,

Zweites Update:
Die Zielbank des (in betrügerischer Absicht veränderten) Empfängerkontos stellt sich taub: "Datenschutz, keine Information zu Konten und Details. Wenden Sie sich an Ihre Bank."
Das wäre dann wohl wieder der Betreiber der Plattform.

Sichtlich gibt es gewisses Interesse an dem Thema... und unterschiedliche Ansichten zu "Schuld", "Sorgfalt", "Passwortverwendung im täglichen Leben", usw.

Leider aber etwas weniger sachdienliche Hinweise...
Andererseits GUT, dass sichtlich noch nicht viele von Euch Erfahrung mit solchen unagenehmen Dingen sammeln mussten!

Meine Schlußfolgerung:
Weiteres Breittreten der laufenden Details in einem öffentlichen Forum ist den laufenden Diskussionen mit den Beteiligten wohl eher nicht zuträglich und werde ich somit jetzt mal reduzieren.

D.h. werde jetzt mal abwarten, wie sich die unterschiedlichen, gestarteten Aktivitäten entwickeln.

Werde am Ende den Ausgang berichten.

Bis bald!

ohje!
vermeiden lässt sich das nur mit unterschiedlichen passwörtern für jedes konto/jeden dienst.
realistisch machbar ist das nur mit passwortmanagern (denen man aber auch wiederum trauen können muss).

warum win2day aber nicht längst eine 2-factor authentifizierung unterstützt verstehe ich nicht.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Eventuell auch einmal bei dem Zertifizierungsthema ansetzen und dort nachfragen, ob diese Vorgangsweise okay ist.

https://www.win2day.at/zertifizierte-sicherheit
https://www.lotterien.at/unternehmen/verantwortung/zertifizierungen/
https://www.world-lotteries.org/services/security/security-control-standard-scs

Ích verstehe auch nicht, warum hier keine 2-Faktor-Authentifiaction realisiert ist und trotzdem scheinbar alles paletti ist.

Edit: Interessant wird es vielleicht bei Punkt 4 "Schutz der Gewinnauszahlungen", auch wenn der Text da etwas schwammig bleibt.

https://www.world-lotteries.org/images/documents/security/scs/scs-standards/scs-2016/WLA-SCS-2016_GERMAN_November_2016.pdf

Edit2: Im Prinzip kannst du deswegen auch einmal beim Finanzministerium nachfragen. Denen sollte das auch nicht ganz egal sein.
https://www.bmf.gv.at/steuern/gluecksspiel-spielerschutz/gluecksspiel-spielerschutz.html

08.02.2019, 19:31 Uhr - Editiert von Thing, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Drittes Update:

Die ganze Sache ist um eine recht interessante Facette reicher geworden...

Nach mehreren Kontakten mit Mitarbeitern der besagten Spiele-/Lotterieplattform eine interessante Wendung:

Die offizielle Kommunikation:
Scheinbar gab es wohl Schwierigkeiten mit den bereits beschriebenen Überweisungen an das Deutsche Fremdkonto. Das Geld wurde gemäß Aussage wohl an win2day zurück gesendet.
Weiters wurde mein Account wieder geöffnet... somit ist an der Historie nun auch für mich sichtbar, was genau wann passiert ist...

Somit:
Gemäß der mir übermittelten Information, wird das Geld (eine mittelgroße 4-stellige EUR Summe) auf mein ursprüngliches Referenzkonto zurück überwiesen.
(bislang aber noch nicht eingetroffen).

Persönliche Meinung oder Spekulation:
Ich persönlich halte es nicht für ausgeschlossen, dass es Versicherungen bzw. Haftungen für die besagten Transfers zwischen den Banken gibt - also diese Summe ist möglicherweise abgesichert, was Refundierung einfacher macht (?).

Dann es gibt noch ein weiteres interessantes Detail, das ich noch nicht im genau erwähnt habe:
Derjenige, der meinen Account übernommen hat, hat auf der Plattform auch etwa EUR 300,- verspielt.

Interessante rechtliche Frage in dem Zusammenhang noch:
Jemand verwendet rechtswidrig an sich genommenes Geld (von meinem Account) und verspielt es auf der gleichen Onlineplattform.
Die Spielehistorie zeigt, dass der Gewinn marginal war, also praktisch die gesamte Summe nun Umsatz(Gewinn) für win2day ist.

Also:
Jemand nimmt gestohlenes Geld, bezahlt damit win2day. Win2day besteht trotz der sehr klaren, illegalen Rahmenbedingungen darauf, das Geld legal verdient zu haben und will es nicht retournieren...
Der Plattformbetreiber bereichert sich also an bei ihm platzierten und dann gestohlenem Geld...
--> auch eine sehr interessante Fragestellung für sich!

Anyway, sollte sich die Frage in der angekündigten Form lösen, habe ich in gewisser Form wohl Glück gehabt.

Trotzdem irgendwie schade:
Hätte die tatsächliche Rechtslage trotzdem gerne gekannt... aus meiner Sicht ist die verbleibende Frage "Retournierung des auf der Plattform verspielten/bezahlten Geldes" noch immer eine sehr spannende...
wird wohl aber wg. des nun signifikant geringeren Streitwerts (also jetzt noch ca. EUR 300,-) eher nicht mehr umfassend beantwortet werden.

Schönen Abend!

PS:
Entnehme einigen Aussagen, dass ich nicht der einzige Betroffene bei dem Unternehmen bin...

09.02.2019, 21:18 Uhr - Editiert von John12, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Naja, ich arbeite nicht, um abgezockt zu werden...

Es betrifft objektiv eine Summe die je nach Einkommen netto die Ersparnisse mehrerer Wochen bis Monate darstellen... (beim "Median"-Österreicher definitiv Monate)...

Falls diese für Dich nicht relevant ist, freue ich mich sehr für Dich und gratuliere zu Deinem Wohlstand und/oder Deiner Gelassenheit! Chapeau!

Schönen Abend!

Ich halte seine Wortmeldung auch für klassisch A-Loch mäßig, wie man es von ihm halt gewöhnt ist.

Aber mir stellt sich schon die Frage, warum du eine Summe, die für dich anscheinend relevant ist, bei einem xbeliebigen Glückspielbetreiber geparkt läßt.

Beträge dieser Größenordnung würde ich grundsätzlich nur auf Seiten „riskieren“, die eine 2 Faktor Authentifizierung anbieten: Paypal, Amazon, meine Bank...

09.02.2019, 22:15 Uhr - Editiert von Paulas_Papa, alte Version: hier

na warum wohl?
Weil ihm die Sicherheit bis dato wurscht war.

Ich bin da auch viel zu fahrlässig. Aber ich käme nie auf die Idee, einen derartigen Betrag einfach über Userid & Passwort ins Luftleere zu stellen.

Mir kommt die ganze Geschichte seltsam vor.
Jemand "parkt" ein paar tausend Euro auf win2day anstatt auf seiner Bank und just wird er "gehackt".
Und dann hat der Typ noch ein nachverfolgbares Deutsches Konto, anstatt eines irgendwo anders, wo es keine Sau interessiert.

Klingt für mich, als wäre da irgendein illegaler Deal schief gegangen.

Oder es war wirklich ein Script Kiddy.

Kleines Skript, das mit 100.000 Mailadressen & Passwörtern aus den Listen einen Anmeldeversuch bei win2day und anderen Glückspielplattformen macht und das jeweilige Guthaben ausliest. Und plötzlich geht das bei 10 glatt auf. Das Konto eröffnest auf einen Drogenkranken und mit der Karte hebst du bei einem unbewachten Banomaten ab.

Du glaubst doch wohl nicht, dass das Geld auf dem deutschen Konto bleibt, oder dass der Inhaber des Kontos etwas mit dem Hack zu tun hat?

Entweder ist das deutsche Konto auch gehackt, oder der Inhaber glaubt, dass er was ganz legales macht, zum Beispiel, mit diesen Tricks: https://www.polizei-beratung.de/themen-und-tipps/betrug/finanzagenten/so-werben-betrueger-opfer-an/

Die ehrliche Antwort ist schlicht, dass ich es nicht gewusst habe, wie nachlässig man auf Seiten des Betreibers agiert...

Das Konto vor langer, langer Zeit eröffnet... Referenzkonto nachträglich auch nicht geändert und somit nicht gewusst - auch nie darüber nachgedacht, welche Sicherheitsabfragen und Prozeduren in dem Fall passieren.
Wer denkt denn realistisch daran, mal auf der Plattform seines Lieferanten alle möglichen Änderungen durchzuführen, um die Sicherheit zu bewerten...
Abgesehen davon gibt es Fachleute und Institutionen dafür... soll ich das ernsthaft als User machen und bewerten können?

Habe jedenfalls auf ein Mindestmaß an Sicherheitsmaßnahmen und Fraud-Protection bei meinem Vertragspartner vertraut (ist ja bei meinen Banken auch so) und wurde enttäuscht.

Genauso, wie ich z.B. Amazon meine Kreditkartendaten anvertraue sowie dem Internetauftritt meiner Bank vertraue (in der Realität bleibt einem ja eh nichts anderes übrig... außer auf die Dienste ganz zu verzichten).

Überraschend allerdings, wie wenig Augenmerk bei besagter Plattform (mittlerweile durch die Geschehnisse objektiv bewertbar) auf Sicherheit gelegt wird.

Und warum viel Geld dort?
Das will ich im Forum jetzt nicht erklären - ich hatte aber einen guten Grund, das zu tun (in hindsight sehe ich die Dinge natürlich anders - aber das Leben ist ein stetiges Lernen).

Wollte das Geld nach ca. 5 vergangenen Wochen wieder von dort weg überweisen... War dann aber 2 Tage zu spät... Konto war schon leer und gesperrt...

Grüße!

09.02.2019, 23:43 Uhr - Editiert von John12, alte Version: hier

Mit der Grundhaltung wirst du noch viel im Leben lernen.

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Seiten „riskieren“, die eine 2 Faktor Authentifizierung anbieten: Paypal,
Amazon

hä??

Keiner der beiden hat das. Zumindest ned als Standard.

mfg
AVS

kann den bitte wer rufen?

Ja, aber sie haben es! Es kann dich ja auch keiner zwingen, einen Sicherheitsgurt anzulegen.

https://www.netzwelt.de/tutorial/165084-paypal-so-schuetzt-konto-zwei-faktor-authentifizierung.html

https://www.amazon.de/gp/help/customer/display.html?ie=UTF8&nodeId=202073820&tag=uhrforum-21

https://www.netzwelt.de/tutorial/165082-ebay-so-schuetzt-konto-zwei-faktor-authentifizierung.html

https://support.google.com/accounts/answer/185839?co=GENIE.Platform%3DDesktop&hl=de

https://support.microsoft.com/de-at/help/12408/microsoft-account-how-to-use-two-step-verification

Intelligenz ist nie verpflichtend, sondern erfolgt ausschließlich auf freiwilliger Basis. Man kann das Pferd zum Wasser führen. Aber man kann es nicht zwingen, zu trinken...

10.02.2019, 11:45 Uhr - Editiert von Paulas_Papa, alte Version: hier

Man kann das Pferd zum Wasser führen. Aber man kann es nicht zwingen, zu
trinken...

du sagst es: man muß dem Pferd das Wasser erst mal zeigen.
Ich kann mich aber nicht erinnern, daß Amazon oder PP das irgendwann aktiv kommuniziert haben.
Oder ebay.
Dazu sind die Einstellungen dazu so gut versteckt, daß es eh kaum wer machen wird.

Und unpraktisch ist es auch. Wie sollen 2 Leute dann einen Account gemeinsam nutzen?

mfg
AVS

kann den bitte wer rufen?

An Paulas Papa: D A N K E !!!!!

Habe mir bis zu diesem Thread auch keine Gedanken über meine KK-Daten bei Amazon gemacht!

LG
Wa49

(Die) Edit(h) war - es gab "grün". Hatte ich vergessen.

16.02.2019, 23:46 Uhr - Editiert von Wa49, alte Version: hier

Keiner der beiden hat das.

Zumindest ned als Standard.

Da hast du recht: Du musst es in den Einstellungen einschalten.

Euer
CWsoft
https://www.weinzettl.info

Du musst es in den Einstellungen einschalten.

und wer tut das?
0,00001%o der Leute

Falls sie überhaupt wissen, daß es das gibt, denn kommuniziert wurde das nie. Obwohl man ständig Mails von Amazon und PP bekommt.

mfg
AVS

kann den bitte wer rufen?

auch wenn sie es kommunizieren, machen es genauso viele leute.
die leute interessieren sich erst dafür, wenn etwas passiert. sieht man ja ganz gut an diesem Thread hier.

In den Medien allgemein wird recht oft von zwei faktor authentifizierung geschrieben.
Solange die Menschen faul sind und sagen "Ach was soll mir schon passieren" werden sie weiterhin ihren vornamen als passwort verwenden und die 2fa nicht aktivieren.

Also ich würde mich schon als durchaus "internetinteressiert" bezeichnen, aber ich hab heute das 1x davon gehört.
Ich werde das teilweise aktivieren, aber nur teilweise, weil es sonst zu unpraktisch wird. Wenn ich meiner Mutter das auf ihren Amazon-Account mach, bringt mich die um. Die flucht schon über Visa-Secure.
Außerdem kann ich dann nicht mehr in ihren Account rein. Was aber gewünscht wird.

mfg
AVS

kann den bitte wer rufen?

bei Amazon kannst eh nachn ersten Login anklicken "Bei diesem Browser nicht mehr danach fragen"
Für ältere Leute ist das alles schrecklich kompliziert. Ist bei meinen Eltern auch nicht anders.

Dafür ist es halt sicherer.
Mir gehts manchmal auch auf die Nerven, dass ich kein einziges Passwort mehr weiß und immer in den Passwortmanager einloggen muss. Aber die Sicherheit ist es mir wert.

bei Amazon kannst eh nachn ersten Login anklicken "Bei diesem Browser nicht
mehr danach fragen"

ach das geht?

Dann wär das OK.
Denn Amazon ist wirklich heikel, denn da kannst SOFORT einkaufen.
Ebay ist eh wurscht, denn dort zahlt man (also ich) eh über PP und da hast ja nochmal ein login. Mit anderem PW.
Aber bei Amazon ist die Kreditkarte direkt hinterlegt, ohne weiteres PW.

mfg
AVS

kann den bitte wer rufen?

ach das geht?

jo.
bei amazon auf jeden Fall.
Hab dort aber nur meinen Browser am Firmennotebook und Zuhause freigegeben.
Bei mobilen Geräten mach ich das nicht.

Bei anderen Seiten weiß ich es nicht.

das istdann eine gute Lösung

mfg
AVS

kann den bitte wer rufen?

ich glaub bei mir hats bei einer neuen adresse, immer die kartendaten noch mal abgefragt
(amazon)

Gruß Sonic The Hedgehog

und wer tut das?

Icvh zum Beispiel?

Ich kann doch auch nur kochen. Essen musst schon selbst, wenn du am Leben bleiben willst.

Dass heute schon recht viele Menschen lebensunfähig sind, liegt nicht nur am Internet, aber auch. Alles bereits vorgekaut und möglichst passiv konsumieren. Nur ja nicht selbst (mit)denken, sollen die anderen für mich denken.

Oida! Des bis do ned du, oder?

Euer
CWsoft
https://www.weinzettl.info

Oida! Des bis do ned du, oder?

klar bin das ich.

Aber auch ich kann nur Infos verarbeiten, die ich auch hab. Ich kann aber auch nicht 24/7 auf der Suche nach allen möglichen Infos sein.

mfg
AVS

kann den bitte wer rufen?

Du weißt aber auch, dass solche Zwei-Faktor-Authemntifizierung eine ganze Menge an Usern abschreckt? Sie ist auch bei von mehreren Leuten genutzten Accounts nicht zielführend.

Also: Entweder ich mache es den einen recht oder den anderen, die nicht in die Einstellungen schauen wollen. Denn aufmerksam gemacht worden, dass es ab "jetzt" auch die Möglichkeit einer solchen Sicherheitsmethode gibt, sind wir ja ohnehin. Aber da hat die Meldung eben gerade gestört, nicht gepasst. Danach haben wir vergessen...

Euer
CWsoft
https://www.weinzettl.info

aufmerksam gemacht worden, dass es ab "jetzt" auch die Möglichkeit einer
solchen Sicherheitsmethode gibt, sind wir ja ohnehin.

sorry, aber an eine solche Meldung kann ICH mich NICHT erinnern.
Weder bei PP, noch Ebay oder Amazon.

Und daß mir EINE solche Meldung durchrutscht, das mag ich mir anrechnen, aber deren 3??? Die müssen schon sehr unauffällig gewesen sein!

mfg
AVS

kann den bitte wer rufen?

sorry, aber an eine solche Meldung kann ICH mich NICHT erinnern.

Gut, dann haben die dich nicht verständigt. Ich habe bei Paypal auf Zwei-Faktor-Authorisierung nach Hinweis jedenfalls umgestellt.

Euer
CWsoft
https://www.weinzettl.info

Paypal habe ich schon länger auf Zwei-Faktor.
Amazon habe ich gerade darauf umgestellt.

Von win2day würde ich mir sowas auch wünschen; und ich hoffe, dass sie das nach dem Vorfall jetzt auch implementieren.

Interessant wäre noch: Hast du jetzt eigentlich schon umgestellt? Weil jetzt weißt du ja davon.

Euer
CWsoft
https://www.weinzettl.info

Hast du jetzt eigentlich schon umgestellt?

ja

Na klar!

Nachteil: wenn mir jetzt einer mein Hendi klaut, dann bin ich richtig im Ar.sch

mfg
AVS

kann den bitte wer rufen?

Wie schon angedeutet - folgende Entwicklung,

sowie Einschätzung eines Profis (Anwalt mit Fokus auf Internetrecht)... siehe unten...

Also:
Das (glücklicherweise) erfolglos nach DE überwiesene Geld kommt zurück auf mein Konto.
Allerdings nur, weil angeblich die Überweisung nach DE nicht richtig funktioniert hat (Details unklar) - nicht weil sie einen Fehler gemacht hätten...
Win2day anerkennt allerdings den Einbruch, etc...

Weiters:
win2day behält das auf der Plattform illegal verspielte Geld.
--> aus meiner Sicht mehr als fragwürdig, sogar in Richtung "Hehlerei" gehend, da ja der Einbruch und die Gesamtsituation unstrittig ist... Also nach dem Motto: "Fehlüberweisung geben wir zurück, das verspielte Geld behalten wir uns lieber, ist ja hart verdient"...
--> Anwalt unterstützt jedoch meine Sicht... siehe unten.

Die für uns (als "Forums-Anwälte") spannende Rechtseinschätzung eines richtigen Anwalts:

Es geht um eine renommierte Plattform, die schon längere Zeit auf dem Österr. Markt agiert.
Fehlende Implementierung von "zusätzlichen" Schutzmechanismen (wie in dem konkreten Fall gegeben) stellt aus seiner Sicht eine Implementierung dar, die "nicht dem Stand der Technik" entspricht. Insbesondere, weil es um kritische Themen wie Geld, entsprechende Transaktionen und Überweisungen geht.

--> Anwalt versteht nicht, unter welcher Argumentaiton der Betreiber das Restgeld einbehalten möchte und bezeichnet die Vorgehensweise wörtlich als "mutig".

--> Anwalt würde bei der ursprünglichen Faktenlage (also ohne Rücküberweisung) eine Klage empfehlen (im Anwaltsdeutsch heißt das "hohe Erfolgsaussicht der Klage"), weil die Implementierung der Sicherheitsmaßnahmen nicht dem Stand der Technik entspricht.

--> Zusatzfrage: Ein Passwort auf zwei/mehreren Plattformen:
Der Anwalt sieht in dem Fall (also Daten wurden illegal in Besitz gebracht) keinen ausreichenden Grund, eine Mitschuld abzuleiten.

Somit:
Der größte Teil der Summe kommt retour... der kleine verspielte, verbliebene Rest bleibt bei win2day wenn es nach deren Willen geht...

Schönen Tag noch und alles Gute, nicht so einem Problem konfrontiert zu werden!

11.02.2019, 19:25 Uhr - Editiert von John12, alte Version: hier

Viel Erfolg!

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Wenn ich heute Abend die 150 Millionen gewinne, werd ich also relativ schnell schauen, das Geld von dort abzuziehen - danke für den Hinweis!

Ich glaub, du musst noch die Reklamationsfrist abwarten.

Ab € 1.000,10 bis € 80.000,- können Sie Ihren Gewinn in einer Großgewinnauszahlungsstelle gegen Vorlage bzw. Ausfolgung der Originalquittung und eines amtlichen Lichtbildausweises beheben. Bei Gewinnen ab € 80.000,- wenden Sie sich bitte an das Kunden-Service-Center der Österreichischen Lotterien Ges.m.b.H., 1038 Wien, Rennweg 44, Tel.: 0810/100 200 100 (max. € 0,10/Minute).

--> Anwalt würde bei der ursprünglichen Faktenlage (also ohne Rücküberweisung)
eine Klage empfehlen im Anwaltsdeutsch heißt das "hohe Erfolgsaussicht der
Klage"), weil die Implementierung der Sicherheitsmaßnahmen nicht dem Stand der
Technik entspricht.

Kann auch nur ein Anwalt sein, dem du gerade recht kommst

Vor Gericht ists wie auf hoher See- alles kann passieren (es gibt keine Garantie, dass du Recht bekommst- auch wenn dir deine Logik anders zu denken gibt) - kann ich dir leider aus persönlicher Erfahrung berichten

And God bless Cliff Burton, Ronnie James Dio, Lemmy and Carlo Pedersoli...

12.02.2019, 23:32 Uhr - Editiert von KiLL0R, alte Version: hier

Die für uns spannende Rechtseinschätzung eines richtigen Anwalts:

ist genauso wertvoll wie jende der

"Forums-Anwälte"

aber danke für deine ausführlichen updates

Wer Rechtschreibfehler findet darf sie behalten!

13.02.2019, 12:15 Uhr - Editiert von SeCCi, alte Version: hier

Tja...

Somit haben wir Meinungen von

"selbst Schuld und Schuld nicht bei anderen suchen" bis zu

"Verletzung der Sorgfaltspflicht, weil Absicherung nicht gemäß Stand der Technik" und gute Chancen auf Erfolg einer Klage".

Die gesamte Bandbreite ist abgedeckt und sichtlich gibt es keinen Konsens.
Zusätzlich gibt es sichtlich auch keine konkreten Erfahrungswerte.

Auch bei meinem Fall werden werden wir anhand der letzten Entwicklungen wohl keine Rechtsprechung mehr dazu erleben...

For what it's worth:
"Internet-Ombudsmann" sowie "Arbeiterkammer" scheinen mir zielführende Ansprechpartner zu sein, wenn man keine Rechtsschutzversicherung hat, die solche Fälle abdeckt.

Noch was vielleicht:
Anwalt hat übrigens auch erwähnt, dass der Großteil der Rechtsschutzversicherungen so einen Fall nicht decken würde... meine auch nicht... lediglich einige wenige, mit speziell umfassender Deckung...
Zeit zum Polizze checken, wenn man sich sicher wähnt

13.02.2019, 22:09 Uhr - Editiert von John12, alte Version: hier

lediglich einige wenige, mit speziell umfassender Deckung.

Welche?

Kann ich nicht beantworten.

Das war nicht der Hauptinhalt des Gesprächs... habe auch nicht vor, naher Zukunft nochmal ähnlichen Bedarf anmelden zu müssen

Interessant wäre die Antwort trotzdem...

Habe z.B. schon herausgefunden, dass div. RS-Versicherungen "Glücksspiel o.ä." ausschließen.

Ob jetzt Schäden im Rahmen einer "Glücksspielplattform" somit schonmal von Haus aus von der Versicherung abgelehnt werden, ist wohl Thema für einen neuen Thread, wo es sicherlich wieder ähnlich viele Meinungen gibt, wie hier

schreib die causa an das orf-konsumentenmagazin https://help.orf.at/stories/kontakt/ bzw. an konkret
https://our.orf.at/mailform/tv_konkret/

wenn nicht konkret, nimmt sich der causa bestimmt help an...denn die lotterien sind hier meiner meinung nach in der pflicht die sicherheit zu ändern - 2-faktor, bestätigung der änderung via sms/mail etc... das gehört groß rausgebracht.

alles gute

Ich bin stolz auf dich! Du bist da an was echt großem dran. Mach weiter!

Vielleicht eine Sammelklage mit dem VKI anstreben?

17.02.2019, 01:29 Uhr - Editiert von Paulas_Papa, alte Version: hier

Die mit der Idiotenklausel.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung