Categories
Datenschutz deutsch Security WTF

PayPal schränkt nach Disput Konto ein

Ich bin seit über 16 Jahren “Kunde” bei PayPal. Nach einem Disput mit PayPal selbst hat PayPal nun plötzlich meinen Account in einen “eingeschränkten Zustand” versetzt.

Als jemand, der beruflich im Bereich IT-Sicherheit unterwegs ist, liegt mir dieses Thema natürlich gerade auch bei einem Finanzdienstleister wie PayPal sehr am Herzen. Daher benutze ich seit Einführung bei PayPal einen “Sicherheitsschlüssel” (allgemein “Zwei-Faktor-Authentifizierung”, “two-factor authentication”, 2FA, TFA, MFA genannt) als zusätzliche Sicherung meines Accounts.  (Zu diesem Thema gibt es auch einige Artikel hier in meinem Blog!) Zunächst einen Hardware-Schlüssel in Form eines kleinen feuerzeuggroßen elektronischen Geräts, später dann einen Software-Schlüssel in Form einer Handy-App.

Im Laufe der vielen Jahre der Nutzung von PayPal habe ich entsprechend oft einen neuen Sicherheitsschlüssel im PayPal-Account registriert, da ich diese Schlüssel jeweils auf meinen beiden (Privat- u. Dienst-) Handys benutze, und diese jeweils alle zwei Jahre durch neue Geräte ersetzt werden, so dass ich auch eine neue Schlüssel-App installieren und registrieren muss.

Dieser Fall war nun wieder eingetreten, und überraschenderweise konnte ich nicht mehr einen neuen Schlüssel registrieren. Der PayPal-Support teilte mir zunächst mit, diese Software-Schlüssel würden in Deutschland nicht mehr unterstützt, daher könne man keine neuen Schlüssel registrieren.

Nach längerem Hinundher fand ich jedoch heraus (u. a. durch Unterstützung von Lesern meines eigenen Blogs und eigene Untersuchungen), dass mir PayPal offensichtlich (bewusst!) die Unwahrheit gesagt hatte. Die wahre Ursache ist ein Problem auf Seiten von PayPal, nämlich eine willkürliche Beschränkung auf zehn Sicherheitsschlüssel. Man kann diese Schlüssel deaktivieren, z. B. wenn sie defekt sind oder verloren gingen, aber man kann sie nicht aus dem Account “löschen”. Erreicht man dadurch das Limit von zehn Schlüsseln, so kann man keine neuen Schlüssel registrieren.

Daher bat ich den Support, dass dieser die alten, bereits von mir deaktivierten Schlüssel löschen möge. Dazu verlangte der Support, dass ich dort anrufen möge. Warum, das wurde mir auch auf ausdrückliche Nachfrage bis heute nicht erklärt. Insbesondere hat PayPal durch meinen Anruf keine größere Gewissheit, dass es sich tatsächlich um meine Person handelt. Ich teilte PayPal mit, dass ich nach 20 min. in der Warteschleife aufgegeben habe, und dass ich ohnehin aus Beweisgründen eine Korrespondenz per Nachricht innerhalb meines PayPal-Accounts bevorzuge.

Nun hat PayPal plötzlich meinen Account in einen eingeschränkten Zustand versetzt und verlangt von mir, dass ich ein Ausweisdokument hochlade sowie ein Dokument, welches meine aktuelle Adresse belegt. Ich lehne das Hochladen meines Personalausweises grundsätzlich ab wegen der drohenden Missbrauchsgefahr (siehe der aktuelle “Mariott”-Skandal, wo Daten von 500 Mio. Kunden gestohlen wurden, u. a. Ausweisnummern!). Außerdem ist es mir unverständlich, wieso PayPal nun plötzlich — fast sieben Jahre nach meinem letzten Umzug — meine Adresse verifiziert haben möchte. Bei Umzügen habe ich bisher immer einfach meine Adresse in meinem Account geändert, damit war der Fall erledigt.

Ich kann mich PayPal gegenüber nach wie vor durch Einloggen in meinen Account authentifizieren, da ich noch über ein Handy verfüge, welches dort registriert ist. PayPal kann also keine ernsthaften Zweifel an meiner Identität haben. Sehr negativ aus Sicherheitsgesichtspunkten ist die Tatsache, dass PayPal es erlaubt, den Sicherheitsschlüssel durch die Beantwortung von zwei Fragen (“Geburtsname meiner Mutter” und “Wohnort als “Kind) zu ersetzen. Es gibt eine Reihe von Personen außer mir selbst, die diese Fragen beantworten können. Die Sicherheit meines Accounts wird also stark geschwächt, und das Verfahren des Sicherheitsschlüssels ad absurdum geführt.

Das Verhalten von PayPal — immerhin eine “Bank”, da das Unternehmen meines Wissens über nach eine Bankenlizenz verfügt! — finde ich unglaublich, geradezu “nach Gutsherrenart”. Daher werde ich mich nun bei diversen Organisationen des Verbraucherschutzes und der Finanzaufsicht über PayPal beschweren.

Categories
deutsch Personal Navigation Devices WTF

“Lifetime” (Map-Upgrade) kann ganz schön kurz sein… :-(

Vor gerade einmal viereinhalb Jahren — ok, in der heutigen “Wegwerfgesellschaft” beinahe eine Ewigkeit — hatten wir ein Becker Ready 50 mit “Lifetime Map Upgrade (LMU)” gekauft.

Wir hatten damals gezielt nach Navis mit “lebenslangen” kostenlosen Karten-Updates gesucht, weil sich innerhalb eines Jahres erhebliche Änderungen ergeben wie z. B. neue oder umbenannte Straßen, geänderte Straßenverläufe, Einführung von Kreisverkehren, u. v. m. Daher wollten wir die Gewähr auf regelmäßige Kartenupdates erhalten.

Unser voriges Navi beinhaltete nur ein kostenloses Update, und ein einzelnes Update sollte knapp 50 EUR kosten, was die Hälfte des damaligen Kaufpreises war. Daher lieber etwas mehr ausgeben, dafür aber “peace of mind”… Denkste! 🙁

Vor zwei Wochen nun erhielten wir folgende Mail von becker-falk@notification-naviextras.com:

Dear Becker/Falk user,

As you may or may not already know, insolvency proceedings were opened in April 2017 regarding the assets of United Navigation GmbH, the manufacturer of your Becker or Falk device. Meanwhile United Navigation has ceased its operations, and the company is currently winding up its affairs.
Since you are our valued customer, we would like to assure you that we at NNG Llc, the developer and provider of Content Manager will continue to support your device with the latest available maps, as per our agreement with United Navigation.

How will the above affect you?

  • If you have recently purchased a Becker or Falk device and you are within 30 days of its first use, you are eligible to activate a free map update and download the most recent map available for your device until the 29th of March 2018.
  • If you are an already existing user with an activated free map update, you now have the possibility to download the recently released map until the 29th of March 2018.

After this date no further free updates will be available for download in Content Manager.

We highly recommend that you update until the 29th of March 2018 using Content Manager if you are entitled for a free map update.

  • We will continue releasing updates up to four times a year, just as we have done until now, granting you the possibility to download the latest available navigation content. Map updates will be available for purchase in Content Manager at any time, until further notice.

We hope that by continuing to provide you with the opportunity to update and continue using your navigation device, we can help you avoid any inconvenience.

Best regards,
Content Manager® Support

Zusammengefasst auf Deutsch:

  • Der Hersteller des Geräts, “United Navigation GmbH”, ist pleite.
  • NNG Llc, der Hersteller des Karten-Update-Programms (und wahrscheinlich auch der Lieferant der Karten selbst), stellt weiterhin Karten-Updates zur Verfügung.
  • Diese sind allerdings nur bis zum 29. März weiterhin kostenfrei.
  • Danach sind sie kostenpflichtig.

Hallo?! Geht’s noch?! Für solche Sperenzchen habe ich wirklich keinerlei Verständnis.

Wenn ein Hersteller von Geräten mit kostenlosen “lebenslangen” Updates wirbt, dann muss er auch durch entsprechende vertragliche Vereinbarungen (unter Leistung von entsprechenen (Vorab-) Zahlungen, mit denen diese Leistungen “dauerhaft” abgegolten sind!) mit seinen Zulieferern dafür sorgen, dass er dieses Versprechen auch einhalten kann.

Becker hat dies augenscheinlich versäumt. Da Becker pleite ist, kann ich die Firma nicht mehr zur Verantwortung ziehen — das wäre ohnehin schwierig, weil ich mit denen kein Vertragsverhältnis habe. Ich muss mich also an den Lieferanten (ein Amazon-Marketplace-Händler) halten. Mal sehen, wie die sich zu der Sache stellen…

Ich werde weiter berichten.

Categories
Computers English Storage Uncategorized WTF

Synology refuses to admit annoying “Cloud Sync” Bug

Since about half a year I’m struggling with a very annoying bug in Synology’s “Cloud Sync” package I’m running on my expensive Synology DiskStation DS415+ NAS. It is still present as of today’s DSM 6.0.2-8451 Update 2.

I would like to backup my photos to my Amazon Drive/CloudDrive. As an Amazon Prime customer I can store an unlimited number of images, and only images — other files, like *.xmp sidecar files, will count against my general 5 GB limit.

The problem is that Synology’s Cloud Sync will upload the sidecar files, even though I explicitly only select “Images” to be backed up (and *.xmp is not part of Images, as I will show you!).

Categories
Networking WTF

AVG can’t get DNS Setup right

It seems that antivirus company AVG can’t get their DNS Setup right.

Today I spotted the below in syslog:

DNS format error from 204.193.144.47#53 resolving crashportal.avg.com/AAAA for client 127.0.0.1#34590: Name avg.com (SOA) not subdomain of zone crashportal.avg.com -- invalid response

So the AVG updater tried to contact via IPv6, as a record type of AAAA was requested, a host called crashportal.avg.com. To do so it had to “resolve” that hostname crashportal.avg.com to an IP address in order to submit a crash dump for a recent crash of their virus scanner (very trustworthy!), and the DNS resolver failed to resolve the IP address. So why is this?

Let’s see:

# dig -t AAAA crashportal.avg.com

; <<>> DiG 9.9.5-9-Debian <<>> -t AAAA crashportal.avg.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 21322
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

Huh? We can’t resolve this because our server failed? Let’s see what’s going on…

# dig -t SOA avg.com

; <<>> DiG 9.9.5-9-Debian <<>> -t SOA avg.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42124
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;avg.com.                       IN      SOA

;; ANSWER SECTION:
avg.com.                1160    IN      SOA     ns.grisoft.cz. domainadministration.avg.com. 2015061601 86400 3600 1209600 10800

;; AUTHORITY SECTION:
avg.com.                172607  IN      NS      a11-66.akam.net.
avg.com.                172607  IN      NS      a20-66.akam.net.
avg.com.                172607  IN      NS      a13-65.akam.net.
avg.com.                172607  IN      NS      a26-67.akam.net.
avg.com.                172607  IN      NS      a1-182.akam.net.
avg.com.                172607  IN      NS      a6-67.akam.net.

Ok, so the above quoted Akamai nameservers should be able to help… Let’s see:

# dig -t AAAA crashportal.avg.com @a11-66.akam.net.

; <<>> DiG 9.9.5-9-Debian <<>> -t AAAA crashportal.avg.com @a11-66.akam.net.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63788
;; flags: qr rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 4
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;crashportal.avg.com.           IN      AAAA

;; AUTHORITY SECTION:
crashportal.avg.com.    300     IN      NS      gtm-atl.avg.com.
crashportal.avg.com.    300     IN      NS      gtm-self.avg.com.
crashportal.avg.com.    300     IN      NS      gtm-tnt.avg.com.

;; ADDITIONAL SECTION:
gtm-atl.avg.com.        3000    IN      A       204.193.144.47
gtm-tnt.avg.com.        3000    IN      A       173.245.115.70
gtm-self.avg.com.       3000    IN      A       212.96.161.252

So the server was not authoritative to answer the request and pointed us to a different set of servers.

Note that the IP address from my error message (204.193.144.47) belongs to one of the nameservers mentioned above!

Ok, let’s ask that server:

# dig -t AAAA crashportal.avg.com @204.193.144.47

; <<>> DiG 9.9.5-9-Debian <<>> -t AAAA crashportal.avg.com @204.193.144.47
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47390
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;crashportal.avg.com.           IN      AAAA

;; AUTHORITY SECTION:
avg.com.                60      IN      SOA     gtm-tnt.avg.com. hostmaster.gtm-tnt.avg.com. 2015052909 10800 3600 604800 60

Why does the nameserver respond with an SOA record even though it’s supposed to be authoritative and was asked for AAAA? It’s not a delegation as — and this is exactly the error message — avg.com is not a subdomain of crashportal.avg.com. Duh!

In my humble opinion it is very disappointing if an IT security company cannot even get the basics right, such as DNS.

This issue reminded me of another similar issue I observed a while ago: Avira can’t get their DNS Setup right. And guess what? This was an antivirus company, too…

Categories
English Networking Security WTF

Avira can’t get their DNS Setup right

Since many months I’m seeing the following issue with Avira‘s DNS setup, and I’m thinking it’s extremely embarassing for a company working in IT Security not to even get the basics right… 🙁

This is what I’m seeing:

named[2597]: DNS format error from 89.146.248.46#53 resolving dl4.pro.antivir.de/AAAA for client 127.0.0.1#52127: Name avira-update.net (SOA) not subdomain of zone antivir.de -- invalid response

So what does that mean?

Let’s have a look at which nameservers Avira are using anyway:

$ dig -t ns antivir.de

;; ANSWER SECTION:
antivir.de.        3600    IN    NS    ns13.avira-ns.net.
antivir.de.        3600    IN    NS    ns10.avira-ns.de.
antivir.de.        3600    IN    NS    ns9.avira-ns.net.
antivir.de.        3600    IN    NS    ns12.avira-ns.de.
antivir.de.        3600    IN    NS    ns14.avira-ns.de.

;; ADDITIONAL SECTION:
ns10.avira-ns.de.    86400    IN    A    80.190.154.111
ns12.avira-ns.de.    86400    IN    A    89.146.248.46
ns14.avira-ns.de.    86400    IN    A    74.208.254.45

Ok, so 89.146.248.46 in the error message quoted above is indeed one of the nameservers for domain antivir.de.

So let’s look up the IPv6 address record (AAAA) for dl4.pro.antivir.de on the given nameserver:
$ dig @89.146.248.46 -t AAAA dl4.pro.antivir.de

;; AUTHORITY SECTION:
avira-update.net. 3600 IN SOA ns1.avira-ns.net. domains.avira.com. 2015010301 10800 3600 2419200 3600

WTF?!

Why are they returning a domain name that is not a subdomain of the original domain?! That’s an error.

And it’s especially embarassing as this is the update URL for Avira’s AntiVir product. Again remember we’re talking about a security firm here!

Categories
Computers WTF

USB device draws too much power, PC will shut down

My dad in law recently asked me about a problem he had with his PC since a couple of days. When he switched on the PC he got an error message as follows:

A USB device is drawing too much power, the PC will shut down in 15 seconds.

Which it did. 😉

I asked him: “What did you do?” He: “Nothing.” Me: “Really?! Nothing at all?!” He: “Well, just connected a USB stick to copy over some pictures.” I: “Huh, so nothing… Let’s see…”

First thing I did is disconnect all USB devices (because I thought he might have done something else he couldn’t remember or didn’t want to tell ;-)). The error still prevailed.

So I inspected the front USB ports. And when I saw that I didn’t know whether I should laugh or be angry. He complete destroyed one of the USB sockets, obviously by trying to force in the USB stick the wrong way. The plastic was broken (and removed!!!), and the contacts were smashed against the “cage” of the sockets, obviously causing a shortcut (and thus this “phantom” device drew too much power ;-))

I opened the case to see whether I could disconnect just the single front USB port from the motherboard. But the two ports were connected to the motherboard with a single 10-pin connector block. I could have tried identifying the wires that led to the damaged port, but I was not in the mood for it, so I just used a screwdriver with a small flat blade to “stretch out” the contacts out of the metal cage and make sure that they don’t cause any shortcuts anymore. I then “sealed” the port with sticky tape, so that he wouldn’t use the port anymore.

Afterwards the PC booted up again as usual.

That was a 20 min. measure and cost nothing at all. I bet a computer repair shop would at least have sold him a new motherboard, if not even a new board plus CPU and RAM (since the combo is already 4 years old or something…), plus work of course.

Hope this helps people with similar issues.

Categories
deutsch Networking Routers WTF

Router blockiert SMTP-Server-Port(s)

Vor einige Tagen kontaktierte mich eine Bekannte, deren Domain ich auf meinem Root-Server hoste. Sie sei gerade umgezogen und könne nun plötzlich keine Mails mehr senden, wohl aber abholen. Der Mailclient meldete “Kann den Server nicht kontaktieren”. Und nein, sie habe in ihrem Mailclient definitiv nichts umgestellt. 😉

Da “klingelte” es gleich bei mir. Ich frug sie, ob sie auch einen neuen Router erhalten hätte, was sie bejahte. Meine Vorahnung ging also möglicherweise direkt in die richtige Richtung.

Was meine Vorahnung war? Nun, wenn plötzlich nach Verwendung eines neuen Routers das Versenden von Mails nicht mehr möglich ist, das Abholen aber sehr wohl noch, dann liegt der Verdacht nahe dass der Router diese Verbindungen blockt. Allerdings war mir zunächst nicht klar wieso der Router dies tun könnte.

Bevor ich weitere Untersuchungen durchführte stellte ich zunächst einmal sicher, dass mein Exim-SMTP-Server auch tatsächlich ordnungsgemäß funktioniert. Danach verschaffte ich mir Remote-Zugriff auf ihren PC mit Hilfe des kostenlosen und sehr empfehlenswerten TeamViewer.

Zum Test der Verbindung wollte ich “händisch” per Telnet eine Verbindung zu meinem SMTP-Server herstellen. Der Telnet-Client war noch nicht installiert, so dass ich ihn erst nachinstallieren musste. Dann führte ich in einem Command Prompt folgenden Befehl aus:

telnet <Mailserver-Hostname> 587

Es gab eine Fehlermeldung der Art “Connection timed out.”

Das war für mich der Beweis, dass meine Theorie richtig war. Ich verschaffte mir also per Webbrowser Zugang zur Administrationsoberfläche des (Telekom-) Routers und fand dort auf Anhieb einen Bereich, in dem ausgehende Mailserver eingetragen werden können. Die Mailserver der großen Mailprovider waren dort bereits eingetragen. Ich fügte also meinen Mailserver hinzu, und unmittelbar nach Anwenden der geänderten Konfiguration konnte die Verbindung zu meinem Mailserver wieder hergestellt werden.

Warum aber sperrt der Router unbekannte SMTP-Server? Als ich die Liste mit explizit konfigurierbaren Mailserver sah, war es mir auf Anhieb klar, obwohl ich sowas bisher nicht gesehen hatte. Der Router versucht Spambots daran zu hindern, von infizierten Rechnern aus Mail zu versenden.

An sich ja keine schlechte Idee, aber warum wird der Besitzer nicht deutlich (z. B. durch einen roten Einleger im Karton) darauf hingewiesen, dass diese Sicherheitsfunktion standardmäßig aktiv ist und welche Wirkung sie hat? Ist das womöglich auch ein Versuch, kleine Provider zu sabotieren?!

Wie auch immer, der “Einsatz” dauerte etwa eine Viertelstunde, danach war meine Bekannte wieder glücklich. Vielleicht hilft dieser Artikel ja dem einen oder anderen, ein vergleichbares Problem zu lösen. Über Feedback würde ich mich freuen.

Categories
Development WTF

Order in Google Play before Unix Epoch ;-)

Just noticed something funny: There’s a purchase in the “My Orders” list that supposedly happened before Unix Epoch:

Screenshot from Google Play showing one specific order -- with a date of   December 31, 1969
Screenshot from Google Play showing one specific order — with a date of
December 31, 1969

Maybe for some reason they don’t have the order date, and therefore set the date to “-1” (so a second before Unix Epoch, which is 1970-01-01)… Just guessing…

Anyway, I thought it’s funny enough to share it with you…

Categories
English Usability Web Browsers WTF

Firefox 29 “Sync” nightmare

The — as I later found out — completely revamped “Sync” feature in Firefox 29 caused me a lot of grief yesterday, and I wasted more than 3 hours due to it. :-(

The issue started after I had to set the system time back on one of my Macs which I hadn’t used for a couple of weeks, so the Firefox data on that machine was outdated and not in-sync with the other machines synced to the same Firefox Sync account. Not sure whether setting the date back was the root cause, but anyway… I suddenly noticed that I had old passwords on another machine, too. Obviously it had received them via Firefox “Sync” from said Mac.

So, what to do?

I first cleared the data stored in my Firefox Sync account by logging on to the old account management (https://account.services.mozilla.com/), to make sure that the outdated passwords do not propagate to more machines.

I then disassociated the machines that had already received the outdated passwords from Firefox Sync.

Afterwards I wanted to add the device back the same way I did when adding a new machine in the past. But it didn’t work as it used to work. No way I could display the sync code I needed to enter on the “master” machine. :-(

Categories
English Mac WTF

“MacX DVD Ripper Pro Halloween Edition” expires and lies to you

Halloween 2012 MacXDVD Software, Inc. gave away free copies of their “MacX DVD Ripper Pro” as a special “Halloween Edition”. This was a very generous gesture which I would like to explicitly recognize and thank them for.

When I recently wanted to reinstall that piece of software on my new MacBook Pro Retina and tried to enter the serial number I noticed that you can’t — the software said that it had expired. I was very disappointed. I didn’t remember that you had to activate the software before the end of the promotion. So I set back my system clock to November 2012, and presto, I could install the software again. 🙂

After I ripped a DVD I set back the date to the current date, only to notice later when I wanted to rip another DVD that the software had expired(!). It does not explicitly say so, but it “lies” to you as follows:

MacX DVD Ripper Pro Halloween Edition lying to you

This message appears regardless of which DVD is in the drive (even very old ones that were released well before “MacX DVD Ripper Pro” itself was released), and even if no DVD at all is in the drive. So it is obvious that the above is not the truth, but a lame excuse for not telling you the truth that the software was time-limited from the very beginning.

Mind you, I’m not complaining about the fact that the software is time-limited as such. Even a software that is free only for a year or something is still a nice gift. What I’m complaining about is that MacXDVD Software, Inc. is lying to me. Why did they not originally include the notice that this is a time-limited copy of the software only?

The solution to this problem of course is to again set back your system time. This is not very convenient, but if you only occassionally rip a DVD it should not be a big problem.