Ritter ConsultingSuchen
Werkzeuge
Neue Einträge
Neue Kommentare
Kategorien
Archive
10.08.2008 Michael Ritter
Datenschutz a’la afterbuy.de
Ich habe gerade meinen ersten eBay-Kauf über afterbuy.de abgewickelt. Das zu eBay gehörende Unternehmen bietet u.a. für eBay-Verkäufer die Auftragsabwicklung nach dem Verkauf an. So weit, so gut.
Die große Überraschung erreichte mich in Gestalt der Bestätigungsmail des Verkäufers. Darin fand sich ein Link für die Verfolgung des Auftragsstatus - bei afterbuy natürlich. Ein Klick auf den Link bringt den Käufer zu einer Auftrags- und Statusübersicht - ohne Authentifizierung, aber brav SSL-verschlüsselt.
Auf der besagten Webseite fanden sich dann allerlei Daten über Käufer und Verkäufer der Ware. Der eBay-Benutzername, der reale Name, die vollständige Adresse, Telefon- und Faxnummer, Mailadressen, die Bankverbindung des Verkäufers und natürlich alles Wissenswerte über den gekauften Artikel.
Die SSL-Verschlüsselung ist als Schutzmaßnahme natürlich reichlich sinnlos, wenn der Zugriff auf die Webseite keine Authentifizierung erfordert. Die Grundannahme "den Link kennt ja niemand" ist naiv. Es reicht bereits, die Seite über einen Proxy-Server oder einen Firewall mit aktivierter URL-Protokollierung aufzurufen, damit Dritte über die Logdateien Kenntnis von diesem Link erhalten.
Auch immer wieder auftauchende Sicherheitslücken in Browsern, die ein (illegales) Auslesen der Browser-History (der Liste der besuchten Internetseiten) ermöglichen, gewinnen hier an erheblicher Bedeutung. Mittels afterbuy kann ein Angreifer bei Kenntnis einer solchen Lücke problemlos und weitgehend automatisch alle relevanten persönlichen Daten des momentanen Benutzers ermitteln - sei es über eine mit Schadcode infizierte Webseite oder einen Trojaner.
Von wahllosem Ausprobieren möglicher Links mal ganz zu schweigen. Die URL enthält neben der eBay-Angebotsnummer einen 32-stelligen Hex-Code. Ob es sich dabei um einen Zufallsschlüssel oder um eine logisch aufgebaute und damit ggf. für Dritte nachvollziehbare ID handelt, ist mir bisher nicht bekannt.
Die afterbuy Datenschutzerklärung gibt sich pflichtgemäß selbstbewusst und bestimmt:
[...]
Der Afterbuy-Kunde (Verkäufer), der sich zur Abwicklung seiner abgeschlossenen Kaufverträge des Afterbuy-Services bedient, trägt auch in diesem Falle die alleinige Verantwortung für die ordnungsgemäße Verarbeitung seiner Kundendaten.
[...]
Gegen einen unrechtmäßigen Zugriff auf die Datenbank sind entsprechende Vorkehrungen nach dem derzeitigen Stand der Technik getroffen worden.
[...]
Afterbuy gibt Ihre Daten nicht an Dritte weiter
Woher afterbuy meine ausdrückliche Zustimmung zur Datenverarbeitung hat, wird nicht erwähnt. Auch der Versuch, die alleinige Verantwortung für die personenbezogenen Daten auf den Kunden (d.h. den eBay-Verkäufer) abzuwälzen, finde ich eher erheiternd. Lächerlich wird es bei der Aussage, die Daten "nach dem derzeitigen Stand der Technik" gegen unbefugten Zugriff geschützt.
Ich denke, die VIA-Online GmbH als Betreiber dieses Dienstes hat hier noch einige Hausaufgaben vor sich. Bis diese erledigt sind, kann man sowohl Käufern als auch Verkäufern nur abraten, auf dieses Werkzeug zurückzugreifen.
| Kommentare |
Ist nicht wahr, oder?
Dann mal fluxx einen Bruteforcer drauf setzen... krass
Ich habe gerade eine Bitte um datenschutzrechtliche Überprüfung des Vorgehens des Hasa-Shop in München an die Regierung von Mittelfranken als Bayer. Datenschutzbehörde gesandt. Nach Erwerb einer Software im Wert von 2,50 Euro musste ich afterbuy.de aufsuchen, wo bereits meine Adressdaten ausgefüllt waren. Ich kam dann aber nicht zu Schritt 2, weil ich keine Telefonnummer eintrug, auch "geht Sie gar nichts an" wurde nicht als Feldinhalt akzeptiert. Ebay hat eine Beschwerde abgewiesen, weil es sich nicht in die Angelegenheiten zwischen Kaeufern und Verkaeufern einmischen will. Ich werde nun auch die NRW-Datenschutzbeauftragte ueber afterbuy.de unterrichten.
3 Cheers! Ich bin noch nicht dazu gekommen. Neben meiner "normalen" Arbeit war ich die letzten Wochen mit dem Relaunch unserer Firmenhomepage beschäftigt). Es wäre toll, wenn Sie uns über den Fortschritt auf dem Laufenden halten würden.
Genau das selbe ist mir heute passiert, Afterbay wollte meine Telefonnummer haben. Sorry nun werde ich ausfallend: Was geht denn der "Hinterm Arsch Kauf" Firma meine Rufnummer an?
Klar, die verscherbeln diese für viel Geld an die Telefon-Mafia.
Ich werde auf jedenfall bei keinem Verkäufer mehr kaufen der Afterbay als Kaufabwicklung benutzt.
Eine Anzeige bei der Behörde für Datenschutz ist schon längst überfällig.
Leute lasst Euch nicht von Ebay und Co. zum gläsernern Bürger machen !!!!
Das "Securtiy by Obscurity" nicht funktioniert ist ja allgemeint bekannt.
