Callmobile

Ich bin unlängst auf Callmobile umgestiegen. Ok, gehört zum gleichen Verein wie Talkline, aber ich dachte, vll. läufts ja. Meine erste Support- Anfrage wurde wie folgt beantwortet:

Sehr geehrter Herr *****,

vielen user-158k für Ihre e-Mail.

Eine Guthabenabfrage ist möglich. Einfach eine leere SMS an die 12345
senden, und schon haben Sie in sekundenschnelle Ihr aktuelles Guthaben auf
dem Display (20 Cent/SMS). So wissen Sie genau, wie lange Sie noch
telefonieren können. Sie erhalten noch zusätlich eine SMS bei EUR 8,
eine bei EUR 4 und eine bei EUR 0, damit Sie informiert sind (kostenlos).

Bitte lassen Sie den nachfolgenden Textverlauf so bestehen, damit wir
schnell nachvollziehen können worauf sich Ihre E-Mail bezieht.
FÜR KUNDEN: Nennen Sie uns immer die ersten drei Stellen Ihres Passwortes.
Ansonsten kann und werde ich Ihre Anfrage nicht bearbeiten. Dies würde den
Datenschutzbestimmungen widersprechen. Achten Sie dabei auf die Groß- und
Kleinschreibung.
Wenn Sie weitere Fragen oder Anregungen haben, antworten Sie bitte auf diese
e-Mail ohne den Betreff zu ändern.

Mit freundlichen Grüßen

callmobile.de Kundenbetreuung
****** *****

www.callmobile.de

*********** REPLY PARTITION ***********
From: "Daniel *****" <daniel*****@web.de>
To: **********@callmobile.de
Date: Di, 16 Jan 2007 20:30:17 +0100
Subject: callmobile support: MX0******893 **********



Datum: Tue Jan 16 20:28:34 CET 2007
Name: user-158iel *****
Email: daniel******@web.de
Rufnummer: ************
Bescheid:
Sehr geehrte Damen und Herren,

ich möchte mich nur erkundigen, ob es eine Möglichkeit gibt, den
aktuellen Kontostand via GSM- Code abzufragen, die üblichen Nummern
funktionieren nicht (*#100# sowie *#101#).
Weiterhin würde mich interessieren, in welchen Abständen der Kontostand
aktualisiert wird, die Weboberfläche zeigt seit ca. 5 Stunden einen
alten/falschen Stand an, die SMS Abfrage war auch nicht aktuell, als ich es
zuletzt probierte.

Vielen user-158k und einen schönen Abend noch,

Daniel *****

Ist das normal? Ich habe zwei Fragen gestellt und keine wurde beantwortet. Im Gegenteil: Meine Feststellung, die SMS- Guthaben- Abfrage sei auch verzögert wurde beantwortet indem man mir sagte, es sei möglich via SMS das Guthaben zu erfragen. Na danke, das wusste ich auch, darum stand es ja da.
Vll. kann mir jemand hier eher helfen, als der ABM- Angestellte ehemalige Landwirt da...?

Was mich weiterhin anfrisst: Diese Frage ist so allgemein, dass es schlicht keinen Grund gibt, einen Teil meines Passwortes zu erfordern. Im Gegenteil: Der Support- Bereich ist ja passwortfrei (im Gegenteil zu anderen Bereichen der Webseite). Und wenn ich Teile meine Passwortes eingeben *muss*, warum gibt es dann kein Formular dafür bzw. keinen Hinweis darauf.
Weiterhin: Bedeutet das, dass die mein Passwort unverschlüsselt speichern? Ich werde den bestenfalls einen MD5 String meiner ersten drei Zeichen senden.



Was meint ihr: Soll ich nochmal mailen und mich beschweren?

Gruß

Barabbas

Also das du den die ersten Zeichen deine Passwortes mitteilen musst, ist auf jeden Fall eine Frechheit! Das sagt doch jedenfalls schoneinmal das die Passwörter in deren Datenbank unverschlüsselt gespeichert werden oder zumindest für jeden Supportmitarbeiter einsehbar sind.

Und das mit der kostenpflichtigen SMS für den Kontostand ist auch irgendwie komisch und dreist zugleich, aber ob man dagegen irgendwie vorgehen kann? Immerhin bekommst du in einem Interval dein aktuelles Restguthaben per SMS.

Seit wann bist du denn bei dem Verein da, bzw. wie lange hat der Support bei deiner E-Mail gebraucht?

// Sind Tests von prepaid-discounter.de seriös? http://prepaid-discounter.de/anbieter-callmobile.html

Ich würde noch einmal nett zurückschreiben, dass es ja alles schön und gut sei, aber keine deine Fragen auch nur angesprochen wurde.

Ansonsten kann ich mich user-182 nur anschließen. Die Sache mit dem Passwort ist indiskutabel.
Ob du deine ersten drei Buchstaben nun in Plaintext oder md5 verschlüsselt überträgst, ändert nichts an der Tatsache, dass die Passworter für einen Vergleich unverschlüsselt (oder entschlüsselbar, was effektiv das gleiche ist) gespeichert sind.

Dieses Verfahren mit den ersten drei Buchstaben ist übrigens nicht ganz ungewöhnlich, bei All-Inkl wird das ähnlich gehandhabt, wenn man z.B. ein Backup wieder einspielen möchte.
Da geht es aber auch um *wirklich* sensible Vorgänge und nicht um Pillepallefragen nach irgendwelchen GMS- Codes etc.

*narf

Bin übrigens seit gestern bei Callmobile, ich warte mit dem nächsten Vertrag bis das IPhone auf dem Markt ist

Gruß

brb

Ist das Passwort denn zufällig generiert oder von dir eingegeben?

Auf das iPhone freue ich mich auch schon, mal schauen wie es preislich liegen wird... Nach der amazon Aktion befürchte ich nichts gutes...

Die Amazon- Geschichte ist auch übel... ich habe so mit max. 500€ gerechnet. Aber die haben wahrscheinlich auch einen extra hohen Preis angesetzt.

Das Passwort stammt übrigens von mir. Warum fragen die nicht nach meiner SIM- Nummer oder sowas?

Völlig idiotisch, bei einem 6-zeichen-langem PWD verkürzt sich doch die Anzahl der möglichen Kombinationen um die Hälfte, wenn ich die ersten drei Zeichen preisgebe. Das kann doch gar nicht im Interesse von Callmobile liegen?

munta!

brb

Das is doch echt albern...zumal es hier um allgemeine Aussagen für einen Dienst geht, der überhaupt keine nutzerspezifischen Daten erfordert...Ich würd entweder anrufen oder nochmal 'ne E-Mail hinschicken und hoffen, dass ein anderer Mitarbeiter diese diesmal beantwortet...Gebühren für eine Info des aktuellen Guthaben-Standes? crap....

besonders lustig, wenn du nichtmehr genug guthaben hast, um dein guthaben abzufragen

Und weiter geht es (von unten nach oben zu lesen):

Sehr geehrter Herr *****,

vielen user-158k für ihre erneute Antwort, ich möchte Sie wegen dieser Sache auch nicht länger behelligen, nur darauf hinweisen, dass Sie natürlich jeder Zeit in der Lage sind, die bei Ihnen hinterlegten Passworte Ihrerseits MD5 zu kodieren und dieses eigentlich gängigen Sicherheitsmaßnahmen entspricht. Würden sie so auch die ersten drei Zeichen des Passwortes kodieren, wäre ein Verifikation ohne Umstände möglich.
Als CCA haben sie auf soetwas wahrscheinlich keinen Einfluss, darum an dieser Stelle nur herzlichen user-158k für Ihre Geduld.

Mit freundlichem Gruß,

Daniel *****

*******@callmobile.de schrieb:
> Sehr geehrter Herr *****,
>
> vielen user-158k für Ihre e-Mail.
>
> Nein, über diese SMS Ihr Guthaben abzufragen ist die einzige mobile aktive Art sein Kontostand zu erfahren. Das wir die Daten von T-Mobile immer verzögert erhalten, können wir natürlich auch immer nur verzögert Ihr Guthabenkonto aktualisieren.
>
> PS: Wie Sie vielleicht wissen kann man mit MD5 Hash NUR verschlüsseln. Wir können die ersten drei Stellen aber nur unverschlüsselt vergleichen denn ich habe ja nicht die verschlüsselung vorliegen. Sie brauchen sich keine Gedanken machen, dass jemand die E-Mail abfängt.
> Auch wenn wir was mit der Verschlüsselung und mit den unverschlüsselten Passwort anfangen könnten, wäre es genau so gefährlich die beiden per E-Mail zu versenden. Ob sich jetzt jemand mit "d3f4263a4c026********************" authentifizieren möchte oder mit "xyz". Würde auf das gleiche hinauslaufen.
>
> Bitte lassen Sie den nachfolgenden Textverlauf so bestehen, damit wir schnell nachvollziehen können worauf sich Ihre E-Mail bezieht.
> FÜR KUNDEN: Nennen Sie uns immer die ersten drei Stellen Ihres Passwortes. Ansonsten kann und werde ich Ihre Anfrage nicht bearbeiten. Dies würde den Datenschutzbestimmungen widersprechen. Achten Sie dabei auf die Groß- und Kleinschreibung.
> Wenn Sie weitere Fragen oder Anregungen haben, antworten Sie bitte auf diese e-Mail ohne den Betreff zu ändern.
>
> Mit freundlichen Grüßen
>
> callmobile.de Kundenbetreuung
> ****** *****
>
> www.callmobile.de
>
*********** REPLY PARTITION ***********
From: "Daniel *****" <daniel*****@web.de>
To: **********@callmobile.de
Subject: callmobile support: MX0******893 **********
>
>
>
> Sehr geehrte Damen und Herren,
>
> ich danke Ihnen für Ihre schnelle Antwort, leider sind sie nicht auf meine Fragen eingegangen. Darum stelle ich diese ganz kurz noch einmal:
>
> 1) Gibt es einen GMS- Code zur Abfrage des Guthabens?
> 2) In welchen Abständen wird die Anzeige des Guthabens über das Internet
> oder SMS aktualisiert? (In meinen Test gab es Latenzen von mehreren Stunden).
>
> Weiterhin hoffe ich sehr, dass Sie meine Passwörter verschlüsselt hinterlegt haben, ich war etwas erstaunt über die Bitte, Ihnen Teile meine Passwortes (unverschlüsselt!) zuzusenden. Aus diesem Grund hier die ersten drei Buchstaben meines Passwortes als MD5 Hash:
>
> d3f4263a4c026*******************
>
> Mit freundlichem Gruß
>
> user-158iel *****

Unfug, oder? Was reden die da von Datenschutz, wenn die alle Passwörter unverschlüsselt speichern? Was ist, wenn jemand an deren DB gerät, ist doch schon tausendfach passiert sowas?
Und es stimmt auch schlicht nicht, dass jemand mit dem MD5 Hash meiner ersten drei Passwortzeichen etwas anfangen könnte, das ist ja das geniale am Hashen von sensiblen Daten.

DAGEGEN!

Ach ja, ich weiß, dass ich einen GMS <-> GSM Buchstabendreher in der Mail habe

Ich habe mich bei all-inkl.de erkundigt; die Passwörter werden bei denen mit einem 256bit Schlüssel per md5 verschlüsselt in ihrer DB gespeichert. Für den Supoort, so sagt mir ein Supporter, haben sie ein Programm, was die letzten 3 Stellen der DB mit den letzten 3 Stellen vergleicht (kodiert).

Also dass ist echt eine Frechheit, 20C für ne Kontoabfrage -> Anbieter wechseln -> das mit dem PW ist ebenfalls unprofessionel -> ich würde dort nicht länger bleiben.

Wechsel am besten zu SymYo oder wie das heißt; meine Mutter hat das auch, und ist vollkommen zufrieden, und die üblichen #101# Nummern gehen auch^^

naja, jetzt muss ich erstmal mein Startguthaben wieder rausholen, soll ja kein Minusgeschäft sein .

Eigentlich hat Callmobile recht faire Konditionen, dass man sein Guthaben nur via kostenpflichter SMS und Weboberfläche abfragen kann, sagt einem vorher ja auch niemand.

Naja

/edit:

*gg er hat sich wieder gemeldet.

Allmählich wird er ungeduldig. Sagt, er kann mir nicht helfen, wenn ich mein PWD nicht angebe. Ich habe ihn darauf hin nochmal darauf hingewiesen, dass die Verschlüsselung derartiger Daten eigentlich üblich ist und ich ihm zukünftig gerne zu diesem Thema weiterhelfe, wenn er mir schon nicht helfen kann.
Selbstverständlich werde ich ihm auch helfen, wenn er mir seine Sozialversicherungsnummer nicht nennt. Ganz einfach von Freund zu Freund

lG

brb

Der GSM-Code ist allerdings der Falsche. Er lautet richtig: *100#. Probier ma den

nö, jeht alles nicht

Im übrigen steht das auch in deren FAQ

Eine Guthabenabfrage ist nur über das Internet möglich.

Original von user-290
Im übrigen steht das auch in deren FAQ

Eine Guthabenabfrage ist nur über das Internet möglich.

ich weiß, stimmt aber nicht, die Guthabenabfrage ist auch via SMS möglich. Und das nicht nur - wie da steht - bei bestimmten Beträgen sondern immer

Warum gehst du auch zu so einem kleinem Verein? simyo ist doch eine gute Wahl auf diesem Gebiet...

Ach deswegen die SMS mit der neuen Nummer Herr user-158iel N.

Original von user-206
Warum gehst du auch zu so einem kleinem Verein? simyo ist doch eine gute Wahl auf diesem Gebiet...

letztendlich gehört Callmobile auch zu einem namenhaften Provider und hat die besseren Tarife.