Montag, 26. Oktober 2009

Phishing-Unfall

Die jüngsten Datenschutzprobleme (schülerVZ) oder Phishing-Attacken (Hotmail & Co) erinnern mich ein heiteres Schmankerl, dass ich vor noch gar nicht allzu langer Zeit erleben durfte.

Es gibt da einen großen deutschen verlag, der nahezu das Monopol im Bereiche juritischer Druckerzeugnisse, vor allem Zeitschriften hat. Dieser Verlag schickte sich an, seine Online-Aktivitäten auszubauen und so sollten alle Abonnenten einer gewissen, wöchentlich erscheinenden juristischen Zeitschrift auch einen (eingeschränkten) Zugang zum Online-Angebot erhalten.

Selbiges machte der Verlag dann auch in der Zeitschrift bekannt und man konnte sich, zumindest in der Anfangsphase, mit der außen auf der Zeitschrift aufgedruckten Kundennummer anmelden.

Ein gewisser Volljurist/Rechtsassessor war seinerzeit als juristischer Mitarbeiter einer Kanzlei tätigt und wies Cheffe auf das Angebot des Verlages hin. Cheffe entgegnete sowas wie "Ach das taugt doch eh´nichts, aber wenn Sie meinen, melden Sie sich doch da an."

Gesagt, getan. Die auf der Zeitschrift angebrachte Kundennummer eingegeben, seine eigene eMail-Adresse dazu, und schwupps hatte besagter Volljurist/Rechtsassessor Zugang zu dem Online-Portal. Selbiges ist übrigens, selbst für Zeitschriften-Abonennnten mit besagtem eingeschränktem Gratis-Zugang, durchaus hilfreich.

Interessant wurde es allerdings, als besagter Volljurist/Rechtsassessor am nächsten Morgen seine eMails checkte. Besagter Verlag schrieb:

"Sehr geehrter Cheffe,
Sie haben sich gestern mit Ihrer Kundennummer auf unserem Online-Portal angemeldet. Offenbar haben Sie übersehen, dass Sie sich bereits früher angemeldet haben. Ihr Benutzername lautet "Benutzername von Cheffe", Ihr Passwort lautet "Passwort von Cheffe".

Mit freundlichen Grüßen
Ihr Benutzer-Service"

Kurzum: Man meldet sich mit einer problemlos lesbaren Kundennummer und einer eMail-Adresse an und bekommt die Zugangsdaten eines anderen Nutzers. Wird sehr interessant, wenn man bedenkt, dass man im eingeloggten Zustand auch kostenpflichtige Zusatzmodule buchen und kostenpflichtig Artikel abrufen kann.

Nebenbei gesagt, wie besagter Volljurist/Rechtsassessor später rein zufällig bemerkte, die Zugangsdaten funktionierten auch bei Ebay.

Keine Kommentare: