Wer bei Amazon.de einkauft, wird sie vielleicht schon mal gesehen haben: Man kann eine Amazon-Visa-Karte bekommen. Ausstellendes Karteninstitut ist dabei die Landesbank Berlin (LBB).
Schmakerl eins der Karte: Man bekommt ein Startguthaben von 20 Euro.
Schmankerl zwei: Mit jeder Euro Umsatz bekommt man einen Amazon-Punkt. Für Umsätze bei Amazon sogar zwei Punkte.
Erreicht man 1000 Amazon-Punkte bekommt man einen Gutschein, den man entweder für einen 10 Euro Amazon-Gutschein eintauschen kann, oder mit dem man die Jahresgebühr der Kreditkarte um 10 Euro senken kann. Die Karte ist nämlich nur im ersten Jahr gebührenfrei.
Soweit zum Vorspiel. Nun habe ich vor einigen Tagen eine Mail erhalten, die 1000 Amazon-Punkte sind erreicht und ich könnte die jetzt eintauschen. Das sieht dann so aus:
Wählen Sie einen der beiden Gutscheine:
***************************************************
Einlösen für 10 € Jahreskartenpreis-Gutschein
- Reduzieren Sie Ihren nächsten Jahreskartenpreis um 10 €.
- Sie erhalten von uns eine Bestätigung über die Gutscheineinlösung per E-Mail.
Einfach hier für den Jahreskartenpreis-Gutschein einlösen:
https://service.lbb.de/portal/bonus2/index.php?a=1&id=0155743af6875ca4e01c0ea8f3f42b76
***************************************************
Einlösen für 10 € Einkaufsgutschein für Amazon.de
-Sparen Sie 10 € bei Ihrem nächsten Amazon.de Einkauf.
-Wir senden Ihnen Ihren 10 € Einkaufsgutschein für Amazon.de per E-Mail.
Einfach hier für den 10 € Einkaufsgutschein einlösen:
https://service.lbb.de/portal/bonus2/index.php?a=2&id=0155743af6875ca4e01c0ea8f3f42b76
***************************************************
Bitte wählen Sie eine der beiden Möglichkeiten zur Einlösung. Ein nachträglicher Umtausch in den jeweils anderen Gutschein ist im Anschluss leider nicht mehr möglich.
Dienstag, 23. März 2010
Sicherheitslücke bei der Landesbank Berlin
Aus Gründen die ich nicht nachvollziehen kann, wurde der erste Link ausgelöst und die Amazon-Punkte für die Reduzierung der Jahresgebühr (Welche Jahresgebühr frage ich mich da. Im ersten Jahr ist die Karte doch Kostenlos?) verwendet. Denn wer jetzt erwartet das hinter dem Link eine Login-Seite oder wenigstens eine Sicherheitsabfrage ("Wollen sie wirklich?") steckt, irrt. Der Link löst sofort die Punkteeinlösung aus.
"Der war bestimmt noch eingeloggt!" denkt ihr? Nee, Pustekuchen. Probiert es selbst aus.
Sicherheitstechnisch also unter aller Sau. Aber die Antwort auf mein Fax ("Wir nehmen Beschwerden grundsätzlich nur schriftlich entgegen.") war nun wirklich der Hohn und möchte ich euch nicht vorenthalten:
vielen Dank für Ihr Fax vom 19.03.2010.
Die E-Mail zur Einlösung des Gutscheins ist eindeutig verfasst, beide Varianten sind beschrieben. Sie haben per Mouseklick folgende Wahl:
"Hier einlösen für einen Jahreskartenpreisgutschein" oder "Hier einlösen für einen Amazon.de Einkaufsgutschein"
Wenn Ihnen die Einlösung des Gutscheins direkt in der E-Mail zu unsicher ist, können Sie auch jederzeit im gesicherten Kreditkarten-Banking über den Menüpunkt "Amazon.de Bonusprogramm" auswählen, welchen Gutschein Sie wünschen.
Haben Sie sich für einen der Gutscheine (10 EUR Jahreskartenpreis-Gutschein oder 10 EUR Einkaufsgutschein für Amazon.de) entschieden und die Einlösung veranlasst, ist dies nicht mehr rückgängig zu machen.
Mit den "Varianten" in der Mail ist mein Hinweis gemeint, das die Mail als Content-Type: multipart/alternative; verschickt wird und somit einmal als HTML und einmal als Text (wie oben) dargestellt werden kann. Die beiden Darstellungen sind Inhaltlich nicht Identisch!
Meinen Hinweis, das der Link ohne Authentifizierung wirksam wird mit dem "gesicherten Kreditkarten-Banking" zu kontern, zeugt von einem mangeltem Problembewustsein.
Jetzt streite ich mich jedenfalls mit der LBB über die Einlösung des Gutscheins. Mal sehen was dabei herauskommt. Aber unter diesen Vorraussetzungen kann ich euch die Amazon-Visa-Karte nicht empfehlen. Wer weiss, was "im gesicherten Kreditkarten-Banking" noch für Sicherheitslöcher lauern...
"Der war bestimmt noch eingeloggt!" denkt ihr? Nee, Pustekuchen. Probiert es selbst aus.
Sicherheitstechnisch also unter aller Sau. Aber die Antwort auf mein Fax ("Wir nehmen Beschwerden grundsätzlich nur schriftlich entgegen.") war nun wirklich der Hohn und möchte ich euch nicht vorenthalten:
vielen Dank für Ihr Fax vom 19.03.2010.
Die E-Mail zur Einlösung des Gutscheins ist eindeutig verfasst, beide Varianten sind beschrieben. Sie haben per Mouseklick folgende Wahl:
"Hier einlösen für einen Jahreskartenpreisgutschein" oder "Hier einlösen für einen Amazon.de Einkaufsgutschein"
Wenn Ihnen die Einlösung des Gutscheins direkt in der E-Mail zu unsicher ist, können Sie auch jederzeit im gesicherten Kreditkarten-Banking über den Menüpunkt "Amazon.de Bonusprogramm" auswählen, welchen Gutschein Sie wünschen.
Haben Sie sich für einen der Gutscheine (10 EUR Jahreskartenpreis-Gutschein oder 10 EUR Einkaufsgutschein für Amazon.de) entschieden und die Einlösung veranlasst, ist dies nicht mehr rückgängig zu machen.
Mit den "Varianten" in der Mail ist mein Hinweis gemeint, das die Mail als Content-Type: multipart/alternative; verschickt wird und somit einmal als HTML und einmal als Text (wie oben) dargestellt werden kann. Die beiden Darstellungen sind Inhaltlich nicht Identisch!
Meinen Hinweis, das der Link ohne Authentifizierung wirksam wird mit dem "gesicherten Kreditkarten-Banking" zu kontern, zeugt von einem mangeltem Problembewustsein.
Jetzt streite ich mich jedenfalls mit der LBB über die Einlösung des Gutscheins. Mal sehen was dabei herauskommt. Aber unter diesen Vorraussetzungen kann ich euch die Amazon-Visa-Karte nicht empfehlen. Wer weiss, was "im gesicherten Kreditkarten-Banking" noch für Sicherheitslöcher lauern...
Ich habe hier ja schon einmal geschriben, dass man bei der LBB im Zusammenhang mit der Amazon-VISA-Karte E-Mails verschickt, die eine Manipulation des VISA-Karten-Kontos ohne Authentifizierung zulassen. Bisher habe ich gedacht, das betrifft "nur" das Einl
Aufgenommen: Apr 03, 18:22