Notices by Thomas Kahle (tomkalei@machteburch.social)

Ich: Mathematiker ist eigentlich ein guter Job. Man ist viel unterwegs und kann viel mit interessanten Leuten reden.

Taxifahrer: Ja, wie Taxifahrer.

Wer spielt auch jeden Sommer dieses hyperrealistische #Brettspiel?

It is 2023 and the venerable Max-Planck-Society is funding a blockchain project called “bloxberg”? 🤯😣

”The most important use cases in science for the use of a blockchain-based system are: data verification, guaranteed protection of intellectual property rights, exchange of research results, peer review, publication of articles, etc.”

@MPDL How is this possible? How can any of these solved problems be solved by blockchain?

Maybe @peng is behind this?

Für mich bleibt die Einsicht, dass mein Instinkt noch funktioniert hat, aber wenn die große Organisation sagt “ist schon alles gut so” und man dann noch müde ist, dann gibt man irgendwann doch die Vorsicht auf.

"When I was young, we used to compile our own operating systems.”
Das stand schon ganz früh in meiner Twitter Bio und stimmt sogar :gentoo:

Alt werden ist jedenfalls doof. 🙁

Von meiner Seite aus ist finanziell nun alles geregelt, aber die Betrüger können anscheinend ihr Geld behalten? Oder wer kümmert sich denn jetzt noch darum das zurückzubuchen? Die Betrüger benutzen übrigens den Zahlungsdienstleister “Remitly”. Ob das bei denen irgendwen interessiert?

Am 16.4. wird der Chargeback von der Bank abgelehnt, da ich die Transaktion per Smartphone autorisiert hatte. Da kann man sich jetzt auch noch beschweren und erst dann wird es von einem echten Menschen überprüft.

Ich leite diese Nachricht an Expedia weiter, die mir daraufhin aber unverzüglich die 154 EUR EUR erstatten sowie noch Expedia-Punkte im Wert von ca. 60 EUR gutschreiben.

Also sind anscheinend doch Daten bei Expedia abgeflossen? Jedenfalls haben sie den Zugang zu ihrem Mailsystem unbefugten Dritten erlaubt. Mein Name und meinen Zahlbetrag kann man aus unverschlüsselten Mails abschnorcheln, da ist kein Einbruch nötig.

In der Folge ruft mich Expedia noch mehrfach an und empfiehlt mir, den Chargeback auszulösen und die Kreditkarte zu sperren, was ich ja alles bereits getan hatte.

Es ist einfach außerhalb der Vorstellungswelt dieser Leute, dass es ein IT-Sicherheitsproblem da irgendwo gibt. Da sind Daten abgeflossen. Die Angreifer haben meinen Buchungsbetrag, Namen und können Mails über Expedia-IT schicken!

Nach einiger Diskussion wird er auch stutzig und verspricht mir, sich darum zu kümmern. Ich sperre derweil meine Kreditkarte und beantrage Chargeback usw.

Am Dienstag 9.4. erhalte ich dann eine E-Mail vom Hotel!

“Es tut mir leid, dass Du von dem Datenschutzverstoß betroffen warst.”
“Am 05.04. sind wir über die Phishing Mails, die von Expedia verschickt wurden aufmerksam geworden. Wir haben dies unverzüglich Expedia gemeldet, da die Mails seitens Expedia verschickt wurden und nicht von uns.”

Wenig später folgt auch Expedia mit der nach DSGVO verpflichtenden Nachricht:

Aber es steht ja noch im Raum, dass das Hotel das gemacht hat. Laut Buchung hatte Expedia ja sowieso nichts mit der Zahlung zu tun. 10 Minuten brauche ich um zu erklären, dass es sich nicht um ein Problem mit einer doppelten Abbuchung dreht, sondern dass beide Betrug sind.

Weitere 10 Minuten lang bietet er mir wieder an, dass ich Stornieren und über Expedia zum garantiert gleichen Preis neu buchen könnte.

Ich rufe am 8.4. wieder Expedia an und arbeite mich bis zur englischsprachigen Eskalationsabteilung durch. Der Mitarbeiter ist jetzt schon etwas vorsichtiger und versteht auch das Problem. Er lässt sich die Transaktionsdaten der doppelten Abbuchung zeigen und kann bestätigen, dass dies nichts mit Expedia zu tun hat.

Am Montag stelle ich fest, dass beide Zahlungen finalisiert sind, also 2x77 EUR abgebucht. Es wird mir klar, dass es sich um Betrug handeln muss, aber wieso kommt dieser Betrug über die Expedia-IT?

OK, die Zahlung pre Kreditkarte, verified by VISA, wird sofort gebucht, alles gut. Einzige kleine Unstimmigkeit: Der Betrag war 77,38 EUR und gebucht werden 77,00 EUR.

Ich gehe schlafen. Am Samstag abend, 24h später werden nochmal 77,00 EUR gebucht. Ob das nur so Reservierungen für Buchungen sind oder echte Buchungen kann man erst am folgenden Bankarbeitstag sehen, also denke ich mir nichts dabei. Scheiss-IT halt.

Jetzt ist es schon nach 23 Uhr und ich werde müde von 40 Min am Telefon mit diesen Leuten. Also gebe ich auf und bezahle da. Vielleicht ist es ja doch einfach nur eine absolut scheiss-IT Lösung aber wenn es über Expedia gekommen ist, wird es schon stimmen. Und, wichtig: Die Betrugsseite hat meinen echten Rechnungsbetrag vorrätig (und Namen auch). Das ist schon soweit personalisiert.

Das Problem ist jetzt, dass sie nicht glaubt, dass Expedia ein Problem haben könnte. Sie will nur _mein_ Problem lösen, nicht ihrs (sie hat keins!) Sie bietet mir Lösungen für mein Problem an: Stornieren Sie doch und buchen sie die gleiche Kategorie neu mit Zahlung direkt über Expedia, oder zahlen sie halt direkt auf der Seite, es macht keinen Unterschied.

Die Frau am Telefon klickt sogar selbst auf den Link und landet auf der Seite der Betrüger. Da läuft ein normaler Bezahlprozess, also so eine Eingabemaske für Kreditkartendaten mit KI-Chat-Option rechts unten. Sieht alles wie bei Expedia aus.

Die Antwort ist ja. Sie sehen die Nachricht und bestätigen mir, dass es sich um eine legitime Nachricht vom Hotel handelt.

Ich bringe Argumente vor wie z.B. dass direkt darunter steht, dass man dort keine Zahlungen vornehmen soll. Das wird weggewischt wie: Ja, aber irgendwie muss man ja zahlen, geht schon.

Die Expedia Mitarbeiter sind aufgeschreckt durch meine Aussage, ich würde Phishing Mails von ihnen erhalten. Deshalb prüfen sie in ihrer internen Datenbank, ob diese Mail die ich erhalten habe wirklich über Expedia-IT gegangen ist.

Der Expedia Chat wird übrigens live übersetzt, d. h. man chattet auf Deutsch und die Person am anderen Ende auf Englisch. Die Erfahrung ist selbstverständlich eine absolute Katastrophe. Nach einigem betteln bekomme man aber wen ans Telefon.
https://machteburch.social/@tomkalei/112237352281709077

Ich denke Expedia hat hier ein Problem und beschließe sie zu benachrichtigen. Vorher rufe ich noch das Hotel an, aber da ist nur eine KI dran. “Wollen sie buchen oder eine bestehende Buchung bearbeiten?” Bei Expedia erreiche ich echte Menschen (zunächst per Chat) und werde auch ziemlich schnell zur „Eskalationsabteilung“ durchgereicht.