News Datenleck bei Bauhaus: Bestelldaten waren über Suchmaschinen auffindbar

[Yuuri]

Erleuchte mich: welche und wie lange?

Buchungsbelege (Rechnungen + Lieferscheine) müssen 10+ Jahre aufbewahrt werden. Beim Shop, beim Versandunternehmen, beim Zahlungsabwickler, den Zwischenhändlern, deiner Bank und allen, die damit irgendwie ansatzweise beteiligt sind.

Eine Gast-Bestellung ist übrigens absoluter Dummfang. Die Daten sind die selben. In ner Tabelle steht halt ne 0 statt ner 1, weshalb du dich nicht anmelden darfst. Wow...

Keine Ahnung wer mit diesem Blödsinn überhaupt angefangen hat. Wahrscheinlich wars ne Marketing-Abteilung. Müsste man aber eigentlich auch selbst drauf kommen, da man bei Konto oder "Gast" die selben Daten angibt. Passwort fehlt halt, wird was Zufälliges generiert.

 

[Hito360]

ohne entsprechende Sammelklage wird niemand was draus lernen. das sind Fehler a la 2001

 

[Kasjo]

Meine CC Daten sind nur bei PayPal und ja, das macht einen Unterschied!

Zumindest wenn es einem nur um die bezahldaten geht. Alle anderen werden brav weiter gereicht und vermutlich auch dann erst mal irgendwo gespeichert.

 

[Monarch2]

Aber genau deswegen habe ich beinahe in keinem Shop einen Account. Nur die wirklich sehr großen für mich wichtigen haben meine Daten. Sonst nur als Gast und via PayPal, kein KreditMist oder KlarnaDreck. Bleibt mir bloß weg mit euren tollen Accounts und Benefit/Insider/SuperMitgliedschaften. Wenn Account sein muss, nur mit Wegwerfmail.

Ja, so kann man sich auch das Leben schwer machen

 

[cruscz]

Immerhin wurde schnell reagiert. Mehr darf man eigentlich nicht erwarten, Fehler passieren.
So lange Bauhaus jetzt nicht auch noch versucht Born zu verklagen als Hacker, wie es andere bei gemeldeten Datenlecks schon versucht haben, ist in meinen Augen alles in Ordnung.
Vom Ärgernis des Fehlers einmal abgesehen. Es wird sich aber vorwiegend um Gewerbekunden handeln, deren Daten sind z.B. übers Handelsregister eh einsehbar. Und wie viele Ziegel der Maurer bestellt hat dürfte die wenigsten interessieren.

 

[DaysShadow]

versucht Born zu verklagen als Hacker

Das hätte bei einem öffentlich zugänglichen Endpoint überhaupt keine Grundlage. Hacking bedeutet in dem Kontext auch immer die Überwindung von Sicherheitsmechanismen, meist unter Ausnutzung von Sicherheitslücken in Software. Das war hier ja überhaupt nicht der Fall.

 

[cruscz]

Das hätte bei einem öffentlich zugänglichen Endpoint überhaupt keine Grundlage

Eine fehlende Grundlage hindert nicht daran es zu versuchen. Und leider sind deutsche Gerichte/Staatsanwaltschaften nicht unbedingt mit IT-Fachkenntnis durchzogen, so dass es zumindest die Möglichkeit gibt, dass das ganze durchläuft. Bis Gutachter bestellt und dort Aufklärung gesorgt haben zumindest.

Kann auch ohne Erfolgsaussicht Marketingstrategie sein. Hilft zumindest das Gesicht zu wahren, wenn man den Kunden sagen kann „Ja, Daten X und Y sind abgeflossen, wir haben aber schon rechtliche Schritte gegen den bösen Hacker eingeleitet!“.
Schadensbegrenzung halt…

 

[FrAGgi]

Erleuchte mich: welche und wie lange?

Fühle dich durch Beitrag #21 erleuchtet.
Erstaunlich, wie schnell man das Gefühl von Sicherheit vermitteln kann, wenn man den Schritt einfach "Als Gast bestellen" nennt und den gesamten restlichen Prozess unverändert lässt.

Meine CC Daten sind nur bei PayPal und ja, das macht einen Unterschied!

Die reinen Informationen der KK ja, der Rest sehr wahrscheinlich nicht.

 

[netzgestaltung]

ich bestell dauernd irgendwo als Gast - meistens mit EPS-Zahlung. Das die intern, wenn sie gut organisiert sind, ein Konto anlegen ist schon logisch. das schlimmste was bisher passierte sind unaufgeforderte newsletter. meine Adresse ist eh sowieso quasi öffentlich(ihr könntet mir mal nette Briefe schicken!)

 

[Silencium]

@FrAGgi Da macht ihr es euch aber einfach in euerer Darstellung.
Bei einer Gastbestellung ist der Anbieter dazu verpflichtet meine Daten vom operativen Geschäft, dediziert abzuspeichern. Bedeutet es dürfte laut DSGVO nicht ausreichen in einer Tabelle irgendwo einen Wert zu setzen und mir darüber ein Kundenkonto zur Verfügung zu stellen. Ich denke hier werden grundlegend Dinge miteinander verwechselt.
Ferner unterbinde ich bei Gastbestellungen die Eventualität, dass der Händler meine Daten anderweitig freigibt oder verwertet.

Es kann ja durchaus jeder handhaben wie er meint und möchte. Ich weiß ja nicht in welchem Bereich ihr tätig seid, aber bei uns achten wir sehr wohl auf den Datenschutz und die Sicherheit personenbezogener Daten und befolgen die DSGVO. Wäre sonst auch recht teuer für die Firma, wenn wir das nicht täten und es auffliegt.

 

[Termy]

Hacking bedeutet in dem Kontext auch immer die Überwindung von Sicherheitsmechanismen, meist unter Ausnutzung von Sicherheitslücken in Software. Das war hier ja überhaupt nicht der Fall.

Das hat manche Richter in der Vergangenheit leider auch nicht davon abgehalten, falsche Urteile zu fällen...
Davon abgesehen reicht es ja auch schon, dass bei Anzeige ggf. die komplette IT-Ausstattung in einer Hausdurchsuchung konfisziert wird etc pp. Selbst wenn das Ganze danach fallen gelassen wird kann das Existenzen zerstören, vom Psychoterror mal ganz abgesehen.

 

[FrAGgi]

Ferner unterbinde ich bei Gastbestellungen die Eventualität, dass der Händler meine Daten anderweitig freigibt oder verwertet.

Das ist korrekt, streite ich nicht ab. Du hast in deinem anfänglichen Zitat mit dem "Erleuchten" nur den Eindruck erweckt, als würdest du glauben, dass sonst keine Daten von dir gespeichert werden.

 

[fp69]

Jaja, die Leute lachen mich immer aus, wegen meiner paranoiden Art. Aber genau deswegen habe ich beinahe in keinem Shop einen Account. Nur die wirklich sehr großen für mich wichtigen haben meine Daten. Sonst nur als Gast und via PayPal, kein KreditMist oder KlarnaDreck. Bleibt mir bloß weg mit euren tollen Accounts und Benefit/Insider/SuperMitgliedschaften. Wenn Account sein muss, nur mit Wegwerfmail. Dann kann man wenigstens das abändern / wegwerfen. Für privat gibt’s ne Nummer, sonst gibt’s Wegwerfnummern. Man kann’s nur predigen, machen muss jeder selbst.

Oh und DSGVO - so Datenschutz … das wird hoffentlich teuer für den Verein!

Auch wenn du als Gast bestellst, legt der Händler ein Kundenkonto an, denn es geht ja u.a.
um den Nachweis, ob später der Kunde noch gewährleistungsansprüche geltend machen kann
oder eben nicht.
Wenn du erneut bei diesem Händler bestellst, wirst du dieselbe Kundennr. erkennen.
Der Unterschied zw. einer Gast- und einer herkömmlichen Bestellung ist der, dass du bei
letzterer auf dein Kundenkonto selber zugreifen und z.B. eine Bestellung ggf. einfach stornieren
kannst.
Des Weiteren hast du bei einer zukünftigen von dir gewünschten Löschung deines Kontos/Daten die
Möglichkeit zu überprüfen, ob die Löschung tatsächlich erfolgte, indem du versuchst, dich in
dein Kto einzuloggen.

E: Yuuri war bereits so nett. Ich hätte mir das getexte sparen können.

 

[=dantE=]

Keine Ahnung wer mit diesem Blödsinn überhaupt angefangen hat.

Man wollte den "aufmerksamen Usern", die denken es gebe keine Verarbeitung ihrer Daten bei einer Gast-Bestellung, Sicherheit vorgaukeln und dann dennoch abmelken.

Wäre genauer in den AGBs zu lesen ... aber wer macht sich schon die Mühe

Ergänzung (23. November 2023)

Es kann ja durchaus jeder handhaben wie er meint und möchte. Ich weiß ja nicht in welchem Bereich ihr tätig seid, aber bei uns achten wir sehr wohl auf den Datenschutz und die Sicherheit personenbezogener Daten und befolgen die DSGVO. Wäre sonst auch recht teuer für die Firma, wenn wir das nicht täten und es auffliegt.

Das kommt halt eben darauf an, was du genau in den AGBs zustimmst ... man kann auch einfach eine Anfrage gemäß DSGVO nach einer Gastbestellung setzen und mal schauen was alles drin ist in der DB.

 

[pseudopseudonym]

Meine CC Daten sind nur bei PayPal und ja, das macht einen Unterschied!

Deine CC-Daten sind auch bei direkter CC-Eingabe in der Regel nicht beim Händler. Wenn's in der EU nicht lascher als anderswo zugeht (hab innerhalb der EU keine Erfahrungen mit solchen Integrationen, daher ist's ne starke Vermutung), sieht der Händler niemals deine vollständigen Kreditkartendaten. Selbst, wenn er wollte.

 

[Silencium]

Tja da habe ich aber andere Erfahrungen gemacht! Im Hotel haben sie bei einem 4 tägigen Aufenthalt am zweiten Tag selbstständig angefangen abzubuchen.
Doch, da werden Daten einbehalten. Auf meine Frage „Wie können sie eigentlich mit meinen Daten buchen? Sie haben doch gar nicht meinen Sicherheitscode.“ gab es nur ein müdes „Die sind ja hier mit ihrer Eingabe hinterlegt und irgendwie hat das System alleine gebucht …“ bei der Bank gab es ein „Das müssen sie bitten den Händler fragen, der ihre Daten verarbeitet.“ Ich war komplett baff. Also Sicherheit gibt’s in der Tat quasi nirgendwo außer beim Bargeld und deswegen zahle ich alles was geht in Bar! Scheiß digitales „Geld“. Sorry, aber bei dem Mist den die Firmen heute so fabrizieren. Wirklich traurig und da möchte man am liebsten die Seite wechseln und den schwarzen Hut aufsetzen.