Hallo liebe Consors Freunde,
bei einem Bekannten ist der neue SecurePlus Generator von einem externen Dienstleister per "Deutsche Post" IM am 27.8.2019 für nur 1,55 Euro Versand zugegangen,
JEDOCH ist die einfache Kartonerpackung im DIN A 5 -Format rund 17 mm **bleep** im GEÖFFNETEN Karton :
doppelte perforierte Abreiß/Aufreißleiste fehlte komplett ! 😞 😞
Die Postbeamtin erklärte Tags darauf keine Beschädigung am Karton aufgefallen zu sein. 😞
bevor dieser tags zuvor im Briefkasten einfach eingeworfen wurde.
? Warum versendet der externe Dienstleister von KOBIL
(berechnet werden Versandkosten von fast 5 Euro)
ein hochsicherheits TAN-Generator
nicht in einem Paket/Päckchen mit Empfangsbestätigung,
dann hätte man diesen so beschädigt gar NICHT angenommen
( denn für ein beschädigte Sendung hätte man nicht unterschieben ) ,
bzw. wäre einfach so in den Briefkasten eingeworfen worden.
Besonders bedenklich ist, das der in einige Tagen unverzichtbare
-wenn man keine neue App auf einem Smartphone einsetzen will,
von dem ich als Sicherheitsexperte nur abraten kann -
personalisierte einmalige und proprietär nur für Consors nutzbare SecurePlus Generator,
ausgelegt für die neue PSD2 ( seit 14. Jan 2018 in nationales Recht getreten)
- vermutlich mit QT-TAN Generator -
den es für die Consorsbank angeblich nur von KOBIL gibt,
in eine nicht richtig verschweißten Plastikumhüllung in der Kartonmitte eingelegt wurde.
Von der EmpfangsFotos, die von meinem Bekannten an Consors & Co übermittelt wurden,
scheint keiner beeindruckt zu sein und weist die Schuld auf die POST.
So bitte nicht liebe Consors. 😞
Haben auch andere kommende Nutzer vom SecurePlus Generator
Probleme bei Empfang des Sicherheitsgerät gehabt?
Der Versand als normale Briefpost war vorher bekannt. Anders wäre es in der Ferien-/Urlaubszeit wohl auch nur schwer machbar gewesen und einige der Geräte wären als unzustellbar zurückgegangen.
Bei den Versandkosten lässt man sich das Verpacken und den schwarzen Karton eben auch entlohnen. Mir hätte auch ein schnöder brauner Umschlag mit Luftpolster gereicht, aber es lief eben anders.
Die Verpackung war bei mir unbeschädigt.
Hallo Hawkwind,
schön das bei Ihnen der dicke vermtlich als Großbrief versendete Karton mit doppelter Aufreissleiste unversehrt eingetroffen ist.
Aber was würde Sie bei einem so beschädigt eingetroffenen SecurePlus Generator machen, wenn sich Consors, KOBIL und der auftragsversnder nichts von dem annehmen wollen.
Im Betreff gibt es noch die Frage:
SecurePlus Generator eingetroffen im beschädigten Karton - noch sicher?
Wie würden Sie sich in dem von unserem Bekannten Fall entscheiden?
Würden Sie eine während des Versand vermutlich geöffnete und mit fehlender Abreißleiste vollkommen beschädigten Karton mit einer zusätzlichen Einrißstelle am Öffnungsschanier in der Nähe des Postwertaufklebers und zudem nicht ordentlich vollsändig eingeschweißter SecurePlus Generator verwenden?
Ich würde dem Bekannten dringend empfehlen, das Gerät NICHT nicht zu verwenden und notgedrungen ein NEUes zu bestellen. Der Erstkauf muss rückabgewickelt werden und das beim Bekannten genutzte Lastschriftverfahren muß widersprochen werden, ==> Rücklastschrift, was sicherlich nicht die günstigte Variante ist. 😞 😞
........................
@all
Würdet Ihr solch ein im Briefkasten vorgefunden SecurePlus TAN-Generator unbedenklich nutzen?
@Lud :
Als "Sicherheitsexperte" solltest Du die einfachsten Dinge des online-Handels eigentlich drauf haben, insbesondere das Thema "Widerrufsrecht".
Das ist zumindest das erste, worüber ich einen hilfsbedürftigen "Bekannten" informieren würde.
Nachdem der Generator einen Aufkleber mit der Seriennummer hat und diese vor Gebrauch bei Consors registriert werden muss, sehe ich die Gefahr eines Missbrauchs als nicht so dramatisch an. Kann ich den Generator registrieren, dann kann ich ihn auch verwenden. Bei Nichterfolg muss feststellbar sein, wer den Generator registriert hat und damit Missbrauch betreiben möchte.
Ich würde noch den Briefkastenschlüssel neu machen lassen, den Kindergarten informieren und die freiwillige Feuerwehr noch wissen lassen, dass ein "während des Versand vermutlich geöffnete und mit fehlender Abreißleiste vollkommen beschädigten Karton mit einer zusätzlichen Einrißstelle am Öffnungsschanier in der Nähe des Postwertaufklebers und zudem nicht ordentlich vollsändig eingeschweißter SecurePlus Generator" im Umlauf war und kompromittiert sein könnte...
Mein SecurePlus-Generator kam heute auch in der besagten unversiegelten Pappbox an, die Aufreisslasche halb aufgerissen und von der DHL mit dem Klebebandmit der Aufschrift „Nachverpackt“ wieder zugeklebt. Man kann alternativ, mit etwas seitlichem Druck auf die Box, auch an den Stirnseiten reingreifen und den Generator herausholen und wieder reintun, denn versiegelt ist da nix. Merkt kaum einer. Die Geräte-Seriennummer zugeordnet zum Namen des Kontoinhabers ist damit frei verfügbar.
Der Beitrag von Myrrdin im Blog betreffend des alten Tan-Generators zeigt, wie wichtig die Seriennummer ist. https://wissen.consorsbank.de/t5/Girokonto-Zahlungsverkehr/TAN-Generator/td-p/24983 Ich schätze, die Erzeugung der neuen Einlog-Tan funktioniert noch genauso. Wenn es also jetzt einen Klon meines SecurePlus-Generators geben sollte, hat er mindestens die erste Sicherheitshürde schon genommen. Durch den Namen des bekannten Kontoinhabers weiss ein Angreifer auch, wo er die restlichen Daten fischen muss.
Fazit: Der Versand einer PIN-Nr. erfolgt im verschlossenen/versiegelten Umschlag. Beim TAN-Generator muss das auch so sein. Alles andere ist unprofessionell. Gerne würde ich lesen, dass meine Befürchtungen nicht zutreffen.
Hallo zusammen,
ich habe die Frage an Kobil gestellt und folgende Antwort bekommen:
..... "Sie müssen sich allerdings keine Gedanken machen. Das Geräte in beschädigten Verpackungen eintreffen sind Einzelfälle und ein Sicherheitsrisiko besteht dadurch nicht.
Das Gerät wird erst durch die von Ihnen durchgeführte Aktivierung bei der Bank personalisiert und enthält bis zu diesem Zeitpunkt einerlei Kundendaten.
Eine Manipulation des Gerätes selbst ist nicht möglich." .....
Der von mir gewünschte Versand per Einschreiben - bei Kostenübernahme meinerseits - ist leider "Aufgrund automatisierter Prozesse" nicht möglich.
Die Schachtel meines Generators war auch soweit beschädigt, dass man ihn herausnehmen und austauschen hätte können
naja - bin noch am Überlegen, wie ich weitermache
Zu dem Thema hatte ich mir auch schon einige Gedanken gemacht und ich denke, ihr könnt den Generator benutzen.
Es ist immer eine spekulative Frage, ob während des Transports eine Manipulation stattfinden könnte...
Das muß der Hersteller ausschließen und ich denke, Kobil weiß, was es tut.
Die Seriennummer ist fest im Gerät hinterlegt und physikalisch nicht mehr angreifbar.
Genauso wie weitere Parameter und die Generierungg des Schlüssels selbst.
Alles Andere würde überhaupt keinen Sinn ergeben.
Könnte eine theoretische Manipulation während der Herstellung stattfinden?
Dazu muß man wissen, dass viele Firmen - vermutl. auch Kobil - die Hardware nicht in Europa fertigen lässt.
Die Programmierung wird aber wohl in Deutschland durchgeführt.
Das schließt erst mal aus, dass in Fernost gewisse "Universal-Generatoren" hergestellt werden. 🙂
Dann weiter: Die Programmdaten, Parameter werden wohl verschlüsselt abgelegt und evtl. auch physikalisch gekappt.
Nun wäre es denkbar, einen Bereich, z.Bsp. den der Seriennummer nicht zu kappen.
Dann wären hier alle möglichen Ser.-Nr. bei der Eingabe denkbar.
Da sind wohl nur eine Handvoll Mitarbeiter involviert und die Produktion erfolgt im Mehraugenprinzip und ist auch genaustens dokumentiert.
Und die defekten Geräte werden auch physikalisch vernichtet.
Da ist es sehr schwierig, für einen Internen ein def. Gerät zu manipulieren und herauszuschleusen.
Deshalb ist ein solches Gerät mit einer sehr hohen Wahrscheinlichkeit als sicher einzustufen.
Absolute Sicherheit gibt es nicht und die größten Saboteure einer Firma sitzen bekanntlich im Innern und weniger im Aussenbereich. 🙂
@Fildertrader Weisst Du was über den Herstellungsprozess oder sind das Vermutungen?
Bei 20€ sollte eigentlich ein Klebesiegel drin (bzw. drauf) sein. Hat der SecurePlus Generator sowas?