Willkommen in der Webstatt Zum Webstatt Blog und Stories
Barabbas Barabbas am 17.01.07 14:01

Ich bin unlängst auf Callmobile umgestiegen. Ok, gehört zum gleichen Verein wie Talkline, aber ich dachte, vll. läufts ja. Meine erste Support- Anfrage wurde wie folgt beantwortet:

Quote
Sehr geehrter Herr *****,

vielen Dank für Ihre e-Mail.

Eine Guthabenabfrage ist möglich. Einfach eine leere SMS an die 12345
senden, und schon haben Sie in sekundenschnelle Ihr aktuelles Guthaben auf
dem Display (20 Cent/SMS). So wissen Sie genau, wie lange Sie noch
telefonieren können. Sie erhalten noch zusätlich eine SMS bei EUR 8,
eine bei EUR 4 und eine bei EUR 0, damit Sie informiert sind (kostenlos).

Bitte lassen Sie den nachfolgenden Textverlauf so bestehen, damit wir
schnell nachvollziehen können worauf sich Ihre E-Mail bezieht.
FÜR KUNDEN: Nennen Sie uns immer die ersten drei Stellen Ihres Passwortes.
Ansonsten kann und werde ich Ihre Anfrage nicht bearbeiten. Dies würde den
Datenschutzbestimmungen widersprechen. Achten Sie dabei auf die Groß- und
Kleinschreibung.
Wenn Sie weitere Fragen oder Anregungen haben, antworten Sie bitte auf diese
e-Mail ohne den Betreff zu ändern.

Mit freundlichen Grüßen

callmobile.de Kundenbetreuung
****** *****

http://www.callmobile.de

*********** REPLY PARTITION ***********
From: "Daniel *****" <daniel*****@web.de>
To: **********@callmobile.de
Date: Di, 16 Jan 2007 20:30:17 +0100
Subject: callmobile support: MX0******893 **********



Datum: Tue Jan 16 20:28:34 CET 2007
Name: Daniel *****
Email: daniel******@web.de
Rufnummer: ************
Bescheid:
Sehr geehrte Damen und Herren,

ich möchte mich nur erkundigen, ob es eine Möglichkeit gibt, den
aktuellen Kontostand via GSM- Code abzufragen, die üblichen Nummern
funktionieren nicht (*#100# sowie *#101#).
Weiterhin würde mich interessieren, in welchen Abständen der Kontostand
aktualisiert wird, die Weboberfläche zeigt seit ca. 5 Stunden einen
alten/falschen Stand an, die SMS Abfrage war auch nicht aktuell, als ich es
zuletzt probierte.

Vielen Dank und einen schönen Abend noch,

Daniel *****


Ist das normal? Ich habe zwei Fragen gestellt und keine wurde beantwortet. Im Gegenteil: Meine Feststellung, die SMS- Guthaben- Abfrage sei auch verzögert wurde beantwortet indem man mir sagte, es sei möglich via SMS das Guthaben zu erfragen. Na danke, das wusste ich auch, darum stand es ja da.
Vll. kann mir jemand hier eher helfen, als der ABM- Angestellte ehemalige Landwirt da...?

Was mich weiterhin anfrisst: Diese Frage ist so allgemein, dass es schlicht keinen Grund gibt, einen Teil meines Passwortes zu erfordern. Im Gegenteil: Der Support- Bereich ist ja passwortfrei (im Gegenteil zu anderen Bereichen der Webseite). Und wenn ich Teile meine Passwortes eingeben *muss*, warum gibt es dann kein Formular dafür bzw. keinen Hinweis darauf.
Weiterhin: Bedeutet das, dass die mein Passwort unverschlüsselt speichern? Ich werde den bestenfalls einen MD5 String meiner ersten drei Zeichen senden.



Was meint ihr: Soll ich nochmal mailen und mich beschweren?

Gruß

Barabbas

netcup.de Warum gibt es hier Werbung?
Franky Franky am 17.01.07 14:09

Also das du den die ersten Zeichen deine Passwortes mitteilen musst, ist auf jeden Fall eine Frechheit! Das sagt doch jedenfalls schoneinmal das die Passwörter in deren Datenbank unverschlüsselt gespeichert werden oder zumindest für jeden Supportmitarbeiter einsehbar sind.

Und das mit der kostenpflichtigen SMS für den Kontostand ist auch irgendwie komisch und dreist zugleich, aber ob man dagegen irgendwie vorgehen kann? Immerhin bekommst du in einem Interval dein aktuelles Restguthaben per SMS.

Seit wann bist du denn bei dem Verein da, bzw. wie lange hat der Support bei deiner E-Mail gebraucht?

// Sind Tests von prepaid-discounter.de seriös? http://prepaid-discounter.de/anbieter-callmobile.html

Michael Michael am 17.01.07 14:16

Ich würde noch einmal nett zurückschreiben, dass es ja alles schön und gut sei, aber keine deine Fragen auch nur angesprochen wurde.

Ansonsten kann ich mich Franky nur anschließen. Die Sache mit dem Passwort ist indiskutabel.
Ob du deine ersten drei Buchstaben nun in Plaintext oder md5 verschlüsselt überträgst, ändert nichts an der Tatsache, dass die Passworter für einen Vergleich unverschlüsselt (oder entschlüsselbar, was effektiv das gleiche ist) gespeichert sind.

Barabbas Barabbas am 17.01.07 14:28

Dieses Verfahren mit den ersten drei Buchstaben ist übrigens nicht ganz ungewöhnlich, bei All-Inkl wird das ähnlich gehandhabt, wenn man z.B. ein Backup wieder einspielen möchte.
Da geht es aber auch um *wirklich* sensible Vorgänge und nicht um Pillepallefragen nach irgendwelchen GMS- Codes etc.

*narf

Bin übrigens seit gestern bei Callmobile, ich warte mit dem nächsten Vertrag bis das IPhone auf dem Markt ist ;)

Gruß

brb

Michael Michael am 17.01.07 14:30

Ist das Passwort denn zufällig generiert oder von dir eingegeben?

Auf das iPhone freue ich mich auch schon, mal schauen wie es preislich liegen wird... Nach der amazon Aktion befürchte ich nichts gutes...

Barabbas Barabbas am 17.01.07 14:43

Die Amazon- Geschichte ist auch übel... ich habe so mit max. 500€ gerechnet. Aber die haben wahrscheinlich auch einen extra hohen Preis angesetzt.

Das Passwort stammt übrigens von mir. Warum fragen die nicht nach meiner SIM- Nummer oder sowas?

Völlig idiotisch, bei einem 6-zeichen-langem PWD verkürzt sich doch die Anzahl der möglichen Kombinationen um die Hälfte, wenn ich die ersten drei Zeichen preisgebe. Das kann doch gar nicht im Interesse von Callmobile liegen?

munta!

brb

Rene Rene am 17.01.07 16:21

Das is doch echt albern...zumal es hier um allgemeine Aussagen für einen Dienst geht, der überhaupt keine nutzerspezifischen Daten erfordert...Ich würd entweder anrufen oder nochmal 'ne E-Mail hinschicken und hoffen, dass ein anderer Mitarbeiter diese diesmal beantwortet...Gebühren für eine Info des aktuellen Guthaben-Standes? crap....

Snake am 17.01.07 16:34

besonders lustig, wenn du nichtmehr genug guthaben hast, um dein guthaben abzufragen

Barabbas Barabbas am 17.01.07 18:37

Und weiter geht es (von unten nach oben zu lesen):

Quote
Sehr geehrter Herr *****,

vielen Dank für ihre erneute Antwort, ich möchte Sie wegen dieser Sache auch nicht länger behelligen, nur darauf hinweisen, dass Sie natürlich jeder Zeit in der Lage sind, die bei Ihnen hinterlegten Passworte Ihrerseits MD5 zu kodieren und dieses eigentlich gängigen Sicherheitsmaßnahmen entspricht. Würden sie so auch die ersten drei Zeichen des Passwortes kodieren, wäre ein Verifikation ohne Umstände möglich.
Als CCA haben sie auf soetwas wahrscheinlich keinen Einfluss, darum an dieser Stelle nur herzlichen Dank für Ihre Geduld.

Mit freundlichem Gruß,

Daniel *****

*******@callmobile.de schrieb:
> Sehr geehrter Herr *****,
>
> vielen Dank für Ihre e-Mail.
>
> Nein, über diese SMS Ihr Guthaben abzufragen ist die einzige mobile aktive Art sein Kontostand zu erfahren. Das wir die Daten von T-Mobile immer verzögert erhalten, können wir natürlich auch immer nur verzögert Ihr Guthabenkonto aktualisieren.
>
> PS: Wie Sie vielleicht wissen kann man mit MD5 Hash NUR verschlüsseln. Wir können die ersten drei Stellen aber nur unverschlüsselt vergleichen denn ich habe ja nicht die verschlüsselung vorliegen. Sie brauchen sich keine Gedanken machen, dass jemand die E-Mail abfängt.
> Auch wenn wir was mit der Verschlüsselung und mit den unverschlüsselten Passwort anfangen könnten, wäre es genau so gefährlich die beiden per E-Mail zu versenden. Ob sich jetzt jemand mit "d3f4263a4c026********************" authentifizieren möchte oder mit "xyz". Würde auf das gleiche hinauslaufen.
>
> Bitte lassen Sie den nachfolgenden Textverlauf so bestehen, damit wir schnell nachvollziehen können worauf sich Ihre E-Mail bezieht.
> FÜR KUNDEN: Nennen Sie uns immer die ersten drei Stellen Ihres Passwortes. Ansonsten kann und werde ich Ihre Anfrage nicht bearbeiten. Dies würde den Datenschutzbestimmungen widersprechen. Achten Sie dabei auf die Groß- und Kleinschreibung.
> Wenn Sie weitere Fragen oder Anregungen haben, antworten Sie bitte auf diese e-Mail ohne den Betreff zu ändern.
>
> Mit freundlichen Grüßen
>
> callmobile.de Kundenbetreuung
> ****** *****
>
> http://www.callmobile.de
>
*********** REPLY PARTITION ***********
From: "Daniel *****" <daniel*****@web.de>
To: **********@callmobile.de
Subject: callmobile support: MX0******893 **********
>
>
>
> Sehr geehrte Damen und Herren,
>
> ich danke Ihnen für Ihre schnelle Antwort, leider sind sie nicht auf meine Fragen eingegangen. Darum stelle ich diese ganz kurz noch einmal:
>
> 1) Gibt es einen GMS- Code zur Abfrage des Guthabens?
> 2) In welchen Abständen wird die Anzeige des Guthabens über das Internet
> oder SMS aktualisiert? (In meinen Test gab es Latenzen von mehreren Stunden).
>
> Weiterhin hoffe ich sehr, dass Sie meine Passwörter verschlüsselt hinterlegt haben, ich war etwas erstaunt über die Bitte, Ihnen Teile meine Passwortes (unverschlüsselt!) zuzusenden. Aus diesem Grund hier die ersten drei Buchstaben meines Passwortes als MD5 Hash:
>
> d3f4263a4c026*******************
>
> Mit freundlichem Gruß
>
> Daniel *****


Unfug, oder? Was reden die da von Datenschutz, wenn die alle Passwörter unverschlüsselt speichern? Was ist, wenn jemand an deren DB gerät, ist doch schon tausendfach passiert sowas?
Und es stimmt auch schlicht nicht, dass jemand mit dem MD5 Hash meiner ersten drei Passwortzeichen etwas anfangen könnte, das ist ja das geniale am Hashen von sensiblen Daten.

DAGEGEN!

Ach ja, ich weiß, dass ich einen GMS <-> GSM Buchstabendreher in der Mail habe ;)

Chrisber am 18.01.07 09:57

Ich habe mich bei all-inkl.de erkundigt; die Passwörter werden bei denen mit einem 256bit Schlüssel per md5 verschlüsselt in ihrer DB gespeichert. Für den Supoort, so sagt mir ein Supporter, haben sie ein Programm, was die letzten 3 Stellen der DB mit den letzten 3 Stellen vergleicht (kodiert).

Also dass ist echt eine Frechheit, 20C für ne Kontoabfrage -> Anbieter wechseln -> das mit dem PW ist ebenfalls unprofessionel -> ich würde dort nicht länger bleiben.

Wechsel am besten zu SymYo oder wie das heißt; meine Mutter hat das auch, und ist vollkommen zufrieden, und die üblichen #101# Nummern gehen auch^^

Barabbas Barabbas am 18.01.07 11:24

naja, jetzt muss ich erstmal mein Startguthaben wieder rausholen, soll ja kein Minusgeschäft sein ;).

Eigentlich hat Callmobile recht faire Konditionen, dass man sein Guthaben nur via kostenpflichter SMS und Weboberfläche abfragen kann, sagt einem vorher ja auch niemand.

Naja

/edit:

*gg er hat sich wieder gemeldet.

Allmählich wird er ungeduldig. Sagt, er kann mir nicht helfen, wenn ich mein PWD nicht angebe. Ich habe ihn darauf hin nochmal darauf hingewiesen, dass die Verschlüsselung derartiger Daten eigentlich üblich ist und ich ihm zukünftig gerne zu diesem Thema weiterhelfe, wenn er mir schon nicht helfen kann.
Selbstverständlich werde ich ihm auch helfen, wenn er mir seine Sozialversicherungsnummer nicht nennt. Ganz einfach von Freund zu Freund ;)

lG

brb

jonsen jonsen am 19.01.07 17:03

Der GSM-Code ist allerdings der Falsche. Er lautet richtig: *100#. Probier ma den ;)

Barabbas Barabbas am 20.01.07 15:56

nö, jeht alles nicht

Rene Rene am 20.01.07 16:08

Im übrigen steht das auch in deren FAQ

Quote
Eine Guthabenabfrage ist nur über das Internet möglich.

Barabbas Barabbas am 20.01.07 21:52

Quote
Original von Rene
Im übrigen steht das auch in deren FAQ
[QUOTE]Eine Guthabenabfrage ist nur über das Internet möglich.
[/quote]

ich weiß, stimmt aber nicht, die Guthabenabfrage ist auch via SMS möglich. Und das nicht nur - wie da steht - bei bestimmten Beträgen sondern immer

jonsen jonsen am 21.01.07 11:39

Warum gehst du auch zu so einem kleinem Verein? simyo ist doch eine gute Wahl auf diesem Gebiet...

bastey bastey am 21.01.07 13:30

Ach deswegen die SMS mit der neuen Nummer Herr Daniel N. :)

Barabbas Barabbas am 21.01.07 15:06

Quote
Original von jonsen
Warum gehst du auch zu so einem kleinem Verein? simyo ist doch eine gute Wahl auf diesem Gebiet...



letztendlich gehört Callmobile auch zu einem namenhaften Provider und hat die besseren Tarife.

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt