Datenschutzloch bei Online-Auktionen

Die Nachricht, dass Benutzerdaten frei zugänglich seien, sorgte vergangene Nacht für Aufregung bei Kunden und Betreibern diverser Online-Auktionen. Markus Weiler von Netrade hatte entdeckt, dass die bei ihm installierte Software Ultimate Auction von Thinkfactory ein Backup der Benutzerdaten in einem ungeschützten Verzeichnis ablegt. Er schaute bei der Konkurrenz nach und wurde bei 13 deutschsprachigen Online-Auktionsplattformen, die ebenfalls Ultimate Auction einsetzen, fündig.

Weiler gab die gefundenen Links und Adressen an Andreas Jakob von Adressmarketing weiter. Der informierte dann nicht nur die Auktionsbetreiber, sondern auch alle Kunden, deren Adressen Weiler gefunden hatte, per E-Mail über den Sachverhalt. Jakob gibt gegenüber heise online an, danach alle rund 6100 Datensätze gelöscht zu haben. Seine Aktion habe dafür gesorgt, dass die betroffenen Auktionsbetreiber schnell reagierten und den Zugriff auf die Kundendaten gesperrt haben.

Stefan Schaudt von Thinkfactory räumt ein, das Verzeichnis sei offen, "auch wenn wir die Software beim Kunden installieren". Schaudt weiter: "Wir sind überrumpelt worden." Er sehe ein, dass das Verzeichnis hätte geschützt werden sollen. Nach seiner Meinung gibt es aber keine Software, die zu 100 Prozent sicher ist.

Gleichzeitig kritisiert Schaudt das Verhalten Jakobs als niveaulos und kündigt ein juristisches Nachspiel an; es habe bereits Anzeigen durch Auktionsbetreiber gegeben. Das Verzeichnis und die Datei mit den Kundendaten sei nirgendwo verlinkt und daher nicht öffentlich zugänglich gewesen, so Schaudt. Weiler von Netrade habe sie bei anderen Auktionen nur finden können, weil er selbst ein solches System betreibt. Jakob hält dagegen, dass der Pfad backup/Members.csv auch für beliebige Hacker nicht schwer zu erraten gewesen sei. (ad)