Dieser hat in seinem Profil eine uralte GMX-Mailadresse von mir eingetragen. Obwohl er schon zig Kontaktaufnahmen gestartet hat und offensichtlich keinerlei Antwort erhält, kommt er nicht auf die Idee seine Daten zu überprüfen. Stattdessen werden immer mehr Leute angeschrieben, nachgehakt und News bestellt.

Eine entsprechende Mitteilung an den Support ist seit über 24 Stunden unbeantwortet und so sammeln sich weiterhin seine Nachrichten bei mir…

Aber wo hakt es nun? Meiner Meinung nach nicht so sehr bei M. L. wie bei ImmobilienScout24! Wieso kann man beliebige E-Mailadressen ohne erzwungene Ãœberprüfung angeben? (Die Ãœberprüfung kann freiwillig erfolgen – wer macht das? Bzw: Wieviele überlesen den Link dazu?)

Durch diese Nachlässigkeit landen mit Sicherheit nicht nur unzählige Nachrichten unbemerkt im Nirvana, viel schlimmer wiegt die Möglichkeit des (überspitzt gesagt) Hackings!

Es wird kaum jemanden geben, der ein Passwort nicht mehrfach verwendet. Ãœber die Passwort vergessen – Funktion könnte ich mir *mein vergessenes* Passwort von Herrn M. L. an die angegebene E-Mailadresse (also mich) zuschicken lassen.

Aber bei solchen Funktionen werden doch grundsätzlich ein neues Passwort generiert und zugeschickt? Falsch! Für *maximale Benutzerfreundlichkeit* schickt ImmobilienScout24 das alte Passwort im Klartext zu. Toll für den Bösewicht: Mit dem nun bekannten Nutzernamen und Passwort sind nicht nur M. L.’s ImmoScout-Konto, sondern auch alle anderen Webseiten auf denen er angemeldet ist potentielle Ziele.

Doch Moment: Wenn das Passwort im Klartext verschickt wird bedeutet das doch: Auch in der Datenbank sind die Passwörter aller Benutzer nicht ausreichend geschützt!

Normalerweise werden Passwörter z.B. per md5-Algorithmus verschlüsselt in der Datenbank abgelegt. Ein Einwegverfahren: Selbst wenn man wollte ist es unmöglich das Passwort zu rekonstruieren.

Anmerkung: MD5 ist eigentlich ein Hashing- und kein Verschlüsselungsverfahren – aber das führt hier zu weit.

Logt sich ein User ein, wird das eingegebene Passwort auch md5-verschlüsselt und mit dem Datenbankinhalt verglichen. Ist das Ergebnis gleich, war das eingebene Passwort korrekt und der User wird eingelogt.

Das scheint hier aber nicht der Fall zu sein – wenn die Passwörter verschlüsselt in der Datenbank stehen, sind sie zumindest entschlüsselbar! Was wäre wohl los, wenn die Datenbank in die falschen Hände gerät?

Ob Herr M. L. von dem Ganzen etwas ahnt? Wohl kaum – und dazu gehört er sicherlich zu mindestens 95% der Nutzer dieses Portals. Umso wichtiger sollte es für den Betreiber doch sein, alle möglichen Schwachstellen auszumerzen?!

Denn auf die Intelligenz der User zu verantwortungsvollem Umgang mit ihren Daten kann er sich dabei nicht wirklich verlassen, die haben anderes im Kopf. Zumindest bis ein Aufschrei durch das Internet geht und sich viele voller Panik und Empörung beim Portal abmelden. (Siehe z.B. “Der Telekom droht wegen der Spitzelaffäre ein Kundenverlust in riesiger Zahl [...]“)

Zuletzt möchte ich noch klarstellen, dass dies garantiert kein Einzelfall ist – viel zu viele Unternehmen gehen viel zu sorglos mit ihren Kundendaten um! Es wird Zeit, dass sich daran etwas ändert!

Heute morgen hat es mich erwischt: Spammer haben eine E-Mailadresse von mir als Absenderadresse in ihre Spammails geschrieben. Das hatte natürlich zu Folge, dass alle Benachrichtigungen von Servern, die die Spam-Mails nicht zustellen konnten (Spammer probieren ja gerne unzählige Namenskombinationen aus) bei mir landeten.

Anmerkung: Leider, leider haben die Entwickler des E-Mail-Protokolls nicht daran gedacht, dass Spammer eine gefälschte Absenderadresse eintragen könnten. Es gibt keinerlei Sicherheit, dass die Absenderadresse auch wirklich die Adresse ist von der eine E-Mail kommt, denn das Eintragen eines beliebigen Absenders ist fast so einfach wie eine Tasse Kaffee zu trinken…

Anscheinend wurde meine Adresse nur zwischen 4 und 6 Uhr morgens missbraucht. Ich habe lediglich einige hundert Fehlermeldungen erhalten – damit geht’s mir noch richtig gut! Denn immerhin habe ich von Leidensgenossen gelesen, die über mehrere Tage hinweg zig zehntausende E-Mails bekommen haben!

Ich hoffe dass das eine einmalige Sache war: E-Mailadresse missbraucht, den Namen verbrannt: Nun steht er möglicherweise in den Spam-Filtern (na suuuuper…), also muss zum Spammen ein neuer her…

Es scheint zu demjenigen immernoch nicht durchgedrungen zu sein, dass die Spam-Identifizierung zentral verwaltet wird und mit einem Klick (in dem Fall von mir) auch allen anderen Blogs zur Verfügung steht. Die ganze *Mühe* ist also für die Katz.

Hoffentlich hat da keiner viele Euronen für ultra-krasse-super-Suchmaschinenoptimierung vom Profi gezahlt…