Online-Sicherheit
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Outfittery hat eine Sicherheitslücke geschlossen, die potenziell rund 500'000 Kunden betraf.

Wir haben Outfittery über eine Sicherheitslücke informiert – so reagiert der Online-Shop

Outfittery verschickt Werbemails mit Links, die den Kunden ohne Passworteingabe im Kundenprofil anmelden. Wer die E-Mail weiterleitet, gibt dem Empfänger unbewusst Zugriff auf seine persönlichen Daten. 

13.08.18, 11:30 14.08.18, 06:40


Stell dir vor, du schickst eine Werbemail eines Online-Shops an eine Freundin oder einen Kollegen weiter, und der Empfänger gelangt damit direkt in dein Kundenkonto – ohne ein Passwort eingeben zu müssen. Genau dies war bis Ende letzter Woche beim Online-Modehändler Outfittery der Fall. Was ziemlich dramatisch klingt, ist am Ende doch kein Datenschutz-GAU. Denn Outfittery hat, nachdem wir die Sicherheitslücke gemeldet haben, vorbildlich reagiert. Aber von vorn.

Vor wenigen Tagen erreichte mich eine E-Mail eines besorgten Outfittery-Kunden. Auf Outfittery.ch können sich Männer nach einem kurzen Style-Check persönlich zusammengestellte Kleiderpakete nach Hause schicken lassen. watson-Leser Marc Grendelmeier ist einer von über 500'000 Männern, die den Service des Online-Modehändlers nutzen.

Am 5. August erhielt er wie zahlreiche andere Outfittery-Kunden eine Werbemail. Ein Link in der Mail bringt den Kunden direkt zu seinen neuen, persönlichen Kleidervorschlägen auf Outfittery.ch. Über den E-Mail-Link wird man also automatisch auf der Webseite angemeldet. Nutzt man den Link nur auf seinem eigenen PC oder Handy, ist das kein Problem. Grendelmeier aber wurde misstrauisch, also probierte er den Link auch auf dem PC eines Arbeitskollegen aus: «Der Kollege hatte ebenfalls Zugriff auf all meine Daten», sagt der watson-Leser.

Werbemail von Outfittery: Der potenziell gefährliche Link versteckt sich hinter dem «Gleich Ansehen»-Button in dieser E-Mail an die Outfittery-Kunden. 

Grendelmeier hat mir die E-Mail von Outfittery weitergemailt und voilà, mit einem Klick war ich in seinem Nutzerkonto drin.

«Das Gefährliche daran ist, dass der Kunde nicht erkennen kann bzw. sich nicht bewusst ist, dass er anderen mit dem Weiterleiten der E-Mail Zugriff auf sein Kundenkonto gibt», sagt der Schweizer IT-Sicherheitsexperte Stefan Friedli, der die E-Mail bzw. den Link darin für uns analysiert hat. Als Nutzer geht man vermutlich davon aus, dass das automatische Login per Link nur im eigenen Browser funktioniert, da man zuvor schon auf der Webseite angemeldet war.

Aber warum sollte jemand die Werbemail weiterleiten? In der E-Mail offeriert Outfittery einen Gutscheincode im Wert von 70 Franken. Gut möglich also, dass man den Gutschein einem Kollegen weitersenden oder Outfittery ganz einfach weiterempfehlen möchte.

Ein zweiter Test mit einem Arbeitskollegen von mir, der ebenfalls Outfittery-Kunde ist, bestätigt die Sicherheitslücke. Um einen Outfittery-Kunden zu «hacken», muss man die Person lediglich unter einem Vorwand dazu bringen, die vermeintlich völlig harmlose Werbemail weiterzuleiten. 

Am 7. August melde ich die Sicherheitslücke bei Outfittery. Dort nimmt man das Problem ernst. Nur zwei Tage später liefert das Berliner Unternehmen nicht nur eine ausführliche Antwort, sondern auch eine Lösung für das Sicherheitsproblem.

Das sagt Outfittery:

«Das Thema Datenschutz ist uns sehr wichtig. Der Link in der personalisierten E-Mail beinhaltet einen sogenannten ‹User Access Token›, über den der Kunde direkten Zugriff auf seinen persönlichen Showroom in seinem Kundenprofil erhält, egal, welches Endgerät er gerade nutzt. Dem Kunden ohne erneuten Log-In den Zugang zu der verlinkten Seite so einfach wie möglich zu machen, ist durchaus eine übliche Vorgehensweise im E-Commerce.

Dass dieser Link bei Weiterleitung der E-Mail zu Verwirrung und Einsicht Dritter in das Kundenprofil führen kann, ist nicht in unserem Sinne. Nach Rücksprache mit unserer Datenschutzbeauftragten liegt es grundsätzlich aber nicht in unserem Verantwortungsbereich, wenn eine solche E-Mail durch den jeweiligen Kunden an Dritte weitergegeben wird. Die E-Mail ist ausschliesslich für den Empfänger bestimmt.

Es ist uns bisher kein Fall bekannt, wo ein Kunde aufgrund dieses Sachverhalts zu Schaden gekommen ist. Wir haben aber direkt gehandelt und haben heute bereits eine Lösung implementiert, die im Falle einer Weiterleitung dieser E-Mail an Dritte einen Zugriff auf das Konto des Kunden verhindert. Diese Massnahme greift auch rückwirkend für bereits verschickte E-Mails.»

Zentral an der Aussage ist: Outfittery hat die Schwachstelle innerhalb von nur zwei Arbeitstagen behoben. Das ist vorbildlich und zeigt, dass der Online-Modehändler den Datenschutz ernst nimmt. Die Erfahrung zeigt, dass viele andere Firmen gemeldete Sicherheitslücken ignorieren und erst handeln, wenn der Fall publik wird. Dann aber kann die Schwachstelle theoretisch von jedem ausgenutzt werden, was weder im Sinn der Firma noch der Kunden sein kann. 

«Dass der Kunde mit dem Link sofort eingeloggt ist, fällt in die Kategorie gut gemeint, aber nicht zu Ende gedacht.»

Stefan Friedli, IT-Sicherheitsexperte bei Scip AG

Auch wenn Outfittery die Schwachstelle behoben hat, sollte dieses Beispiel eine Warnung sein: Wie die Firma selbst schreibt, ist diese bequeme, aber nicht besonders sichere Login-Methode per Link «eine übliche Vorgehensweise» von Online-Shops. Kunden sollten sich also bewusst sein, dass andere Online-Shops womöglich genau gleich unvorsichtig handeln, wie dies Outfittery getan hat.

Das bisherige Vorgehen von Outfittery wäre für IT-Sicherheitsexperte Friedli nur akzeptabel gewesen, wenn Dritte mit dem Link nur die persönlichen Kleidervorschläge hätten einsehen können. Problematisch wird es, wenn Fremde Zugriff auf persönliche Nutzerdaten erhalten oder gar bestellen können.

Bleibt zu sagen: Es ist verständlich, dass Online-Shops den Kunden das Einkaufen möglichst einfach machen wollen. Persönliche Login-Links sind aber nur bei wenig heiklen Daten eine elegante Passwort-Alternative oder -Ergänzung. Nutzen Firmen solche Links, müssen sie ihre Kunden explizit darauf aufmerksam machen, dass die persönliche E-Mail bzw. der Link auf keinen Fall weitergeleitet werden darf.

Kennst du andere Webseiten oder Online-Shops mit einer Sicherheitslücke? Hinweise bitte an digital@watson.ch. Merci!

Die Schweizer lieben Online-Shopping während der Arbeitszeit

Video: srf

Geschäfte, die uns mit ihrem Humor um den Finger wickeln

Hol dir die App!

Yanik Freudiger, 23.2.2017
Die App ist vom Auftreten und vom Inhalt her die innovativste auf dem Markt. Sehr erfrischend und absolut top.

Abonniere unseren Daily Newsletter

66
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
66Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Lukakus 14.08.2018 03:20
    Highlight „Nicht under Problem eigentlich, aber wir haben‘s mal gelöst“

    Irgendwie merkwürdig, dass sie sich erst rechtfertigen. Gesetzlich scheint es, ok zu sein. Menschlich ist es dies aber definitiv nicht.
    8 0 Melden
  • Kukukuk 13.08.2018 18:27
    Highlight Und wieso muss man mit einem solchen Problem nun zur Presse anstatt dies direkt selbst dem Unternehmen zu melden? 🤔
    6 37 Melden
    • Oliver Wietlisbach 13.08.2018 18:43
      Highlight Woher willst du wissen, dass er das Problem nicht zuerst Outfittery gemeldet hat? Denn genau dies hat er getan.

      Er hat uns den Namen der Firma erst genannt, als Outfittery nicht reagierte. Hätte er sich nicht an uns gewandt, wäre die Lücke höchstwahrscheinlich jetzt noch da.
      46 19 Melden
    • emc2 13.08.2018 19:51
      Highlight @Oliver

      Wie er das wissen will? Dein Text impliziert das:

      "Wir haben Outfittery über eine Sicherheitslücke informiert" / "Denn Outfittery hat, nachdem wir die Sicherheitslücke gemeldet haben, vorbildlich reagiert".

      32 3 Melden
  • Henri Lapin 13.08.2018 17:17
    Highlight Mein Shop hat das Problem nicht. Liegt im Stadtzentrum, bezahle bar.
    36 18 Melden
    • Rasty 13.08.2018 19:28
      Highlight Doch, du hast extrem hohe Risiken, du könntest überfallen werden oder zutodegeschlagen werden!
      19 8 Melden
    • Elderwand 13.08.2018 19:58
      Highlight
      47 3 Melden
    • Anam.Cara 14.08.2018 06:57
      Highlight @Henri Lapin: das coole daran ist, dass ihre Bank nicht weiss, wo sie wieviel wofür ausgegeben haben.
      Bargeld ist für mich ein letztes Stückchen Privatsphäre in der Zeit des Dataminings...
      9 1 Melden
  • Chaose 13.08.2018 14:18
    Highlight Und wie genau soll das Problem nun gelöst sein? Es scheint mir unmöglich, zu erkennen ob der Link weitergeleitet wurde oder nicht... behaupten die einfach etwas?
    34 4 Melden
    • Adam Gretener (1) 13.08.2018 17:23
      Highlight Nö, die haben das serverseitig gelöst. Anders gehts nicht, wenn die Tatsache stimmt, dass auch alte Newsletter diese Sicherheitslücke nicht mehr zu befürchten haben. Es wird mit gleichem Parameter (Email) eine andere Funktion in der Server-Applikation aufgerufen. Sprich, nicht mehr direkter Login; sondern einfach zur Login-Seite geroutet.
      28 2 Melden
    • Anam.Cara 14.08.2018 07:02
      Highlight @Adam Gretener: vielleicht habe ich die Info von Outfittery falsch verstanden, aber für mich klingt es so, als ob sie nur witergeleitete Mails sperren könnten. Der ursprüngliche Empfänger hat trotzdem den komfortablen One-click-Shop zur Verfügung.
      Würde mich echt interessieren, wie und auf welcher Stufe sie das unterscheiden wollen. So viel ich weiss sendet http keine Mailadressen mit, wenn man auf einen Link clickt
      2 3 Melden
    • Adam Gretener (1) 14.08.2018 11:27
      Highlight Anam.Cara: Anders geht das nicht, nicht in diesem kurzen Zeitraum wenigstens. IPs abfangen geht nicht, da dann z.B. dein Arbeitskollege trotzdem auf deine Daten zugreifen kann. Stell dir vor, dem Link im Email xyz.ch werden noch Parameter angefügt, also werte. Bei einem einfachen Mail-Link sieht das dann etwa so aus, nach der eigentlichen Adresse wird dann noch vielleicht ein ?subject=Betreff der Mail" angehängt. Das macht, dass dein Outlook eine neue Email öffnet und in das Subject-Feld automatisch den Text "Betreff der Email" einfügt. So ähnlich funktioniert das mit einer ID.
      2 0 Melden
  • Web7 13.08.2018 13:47
    Highlight Diese Token-Lösung wird auch von ganz anderen und ohne viel zu überlegen benutzt. Bewirb Dich z.B. auf jobs.ch auf eine offen Stelle und der potentielle Arbeitgeber erhält von jobs.ch auch eine E-Mail nur mit einem Link, welche frei weitergeleitet werden kann und Zugriff auf alle Deine Unterlagen (CV, Begleitschreiben, Zeugnisse, was immer Du mitgeben wolltest) gewährt. Datenschutz existiert nur im Lehrbuch.
    35 2 Melden
    • Rasty 13.08.2018 19:30
      Highlight Dann kann man sich über Jobs.ch gleich bei denen eine stelle suchen und das Problem lösen.
      16 0 Melden
  • ast1 13.08.2018 13:43
    Highlight Immer noch besser als der Online-Modeshop bayard24.ch – dort werden die Passwörter im Klartext gespeichert und wenn der Nutzer sein Passwort vergisst per unverschlüsseltem Mail zugesendet. Ebenso wird der Wert auf der Nutzer-Profilseite übertragen. Grosses No-No aus Datenschutzsicht.

    Hatte die Firma bereits vor mehr als einem Jahr kontaktiert deswegen. Vor ein paar Monaten hatte ich sogar mit der Geschäftsleitung telefoniert, wo gesagt wurde, das werde bis Juni/Juli behoben. Bis jetzt nichts.

    Wäre super, wenn Watson dort auch mal nachhaken könnte!
    47 1 Melden
  • MacB 13.08.2018 12:30
    Highlight Das mit dem Login ohne Passworteingabe ist bei Facebook-Mails ebenso. Find ich sehr heikel!
    30 12 Melden
    • rolf.iller 13.08.2018 15:27
      Highlight Ne ne ne, bei Facebook, Gmail usw hast du eine Option gesetzt "Passwort merken". Das heisst auf genau Deinem Compi musst du das pw nicht erfassen. Von überall sonst musst du ein PW eingeben. Das ist legitim und so sicher wie du deinen Compi/Mobile schützt.
      36 2 Melden
    • MacB 13.08.2018 16:33
      Highlight Du hast recht @rolf.

      War mir nicht bewusst, dass das dewegen ist. Ich muss ja selbst beim hinterlegten PAsswort noch manuell einloggen, das PW steht aber schon da.
      16 2 Melden
    • Adam Gretener (1) 13.08.2018 17:24
      Highlight Lieber MacB, dann kopiere mal deinen FB-Link von Hand in einen Brower, den Du nur selten verwendest und in dem Du keine Passworte hinterlegt hast. Du wirst dich authentifizieren müssen.
      10 2 Melden
  • rolf.iller 13.08.2018 12:00
    Highlight Heeee, moment mal, da ist gar nix gelöst. Das Problem ist nicht nur das Mail weiterleiten, sondern auch, dass das Originalmail unverschlüsselt ist. Das heisst, die Mail kann von jedem Verbindungsknoten mitgelesen, gespeichert und der Link missbraucht werden. Bringt wohl nix wenn man seine Website mit HTTPS verschlüsselt um Zugriff auf sensitive Daten zu verhindern und dann gleichzeitig das Security-Mail-Scheunentor aufmacht. #fail
    258 9 Melden
    • Velowerfer 13.08.2018 15:52
      Highlight Nur wenn das Emailkonto bei einem Feld-Wald-Wiesen-Anbieter gehostet ist. Schon mal von SMTP over TLS gehört?
      3 19 Melden
    • rolf.iller 13.08.2018 18:47
      Highlight Smtp over TLS bringt nix, sorry dich da zu entäuschen. Damit sicherst du nur wie die mail vom mail hoster zu dir gelangt. Wie das mail vom sender zum hoster kommt, ist damit nicht geregelt. Du musst davon ausgehen, dass diese Kommunikation unverschlüsselt geht.
      18 2 Melden
    • super_silv 13.08.2018 19:19
      Highlight Hab ich mir auch gedacht, und dann noch diese Antwort von Outfittery. Unglaublich! Ist nur zu hoffen das der User Access Token Kundenspezifisch ist😂
      7 0 Melden
    • Zwerg Zwack 13.08.2018 20:27
      Highlight Aber Passwort-Zurücksetz-Links kommen doch auch "normal" per E-Mail, unverschlüsselt. Klar, diese fordert man an, im Gegensatz zu einem Newsletter. Aber kommen überhaupt irgendwelche E-Mails verschlüsselt an, so richtig? Habe das soweit ich weiss noch nie erlebt...
      2 4 Melden
    • cyrill_10 13.08.2018 21:48
      Highlight @Zwerg Zwack
      Es gibt Verschlüsselungsmethoden für E-Mail (PGP, SMIME) die werden aber selten genutzt. Die Password Emails sind in der Regel nur ein paar Stunden oder Tage gültig, oder werden nach deinem Klick revoziert. Damit „verfällt“ das Problem sozusagen nach kurzer Zeit. Diese E-Mails von Outfittery kannst du aber noch nach Monaten anklicken und bist noch eingeloggt.
      8 0 Melden
    • Velowerfer 13.08.2018 22:33
      Highlight @rolf.iller: Genau das ist damit geregelt. Wie das Email zu mir kommt ist sicher nicht über SMTP sondern eher IMAP, MAPI oder POP3 (hoffentlich mit TLS). SMTP is das Protokoll für den Versand. Wenn der Hoster Oportunistic TLS anbietet und der Sender dies unterstützt, ist der Transport vom Sender System zum Hoster System normalerweise gesichert und kann nicht eingesehen werden. Die einzigen Systeme die das Mail in Plaintext sehen können sind dann die des Senders und des Hosters. Und dies reicht in den meisten Fällen völlig aus.
      1 4 Melden
    • rolf.iller 14.08.2018 03:18
      Highlight Lieber Velowerfer, ich bin mit der Technik sehr wohl vertraut. Leider liegst Du falsch, wenn Du meinst, dass nur der Sender und Hoster die Mail einsehen können. Jeder Knoten dazwischen kann mitlesen.

      Seit Snowden ist bekannt, dass Geheimdienste systematisch sämtliche Kommunikaton ausleiten und wegspeichern. Der grösste deutsche Netzknotenbetreiber DE-CIX hat zum Beispiel gegen diese Praxis erfolglos geklag. Über Programme wie PRISM kann diese Kommunikation noch nach Jahren eingesehen werden. Kannst Du beides googlen.

      Natürlich kann auch jeder andere Schurke der dazwischen sitzt mitlesen.
      6 0 Melden
    • Velowerfer 15.08.2018 12:07
      Highlight Lieber Rolf
      Du kannst mir gerne erklären wie eine TLS 1.2 Verbindung ausgelesen werden kann, ohne dass eine MITM Attack (was wiederum erkannt werden kann). Ich denke auch die ganze Tech-Welt würde das gerne erfahren.
      1 3 Melden
    • rolf.iller 15.08.2018 16:30
      Highlight Lieber Velowerfer, du vermutest, dass beim Versand der Werbemails TLS genutzt wird fals die Gegenpartei dies unterstüzt. Vielmehr sollte davon ausgegangen werden, dass keine Verschlüsselung eingesetzt wurde. Wie das Mail zu Dir kommt kannst Du weder bestimmen noch kontrollieren.

      Ich zweifle nicht an TLS halte aber Deine Annahme für ungerechtfertigt.

      Wenn Dir Verschlüsselung wichtig ist brauchst du smime oder pgp, was für Werbemails aber nicht tauglich ist.
      3 0 Melden
  • Ms. Song 13.08.2018 11:59
    Highlight Ok, es gibt also doch noch Leute, die Newsletter und Werbemails lesen. Hätte ich nicht gedacht.
    461 16 Melden
    • Gren-D 13.08.2018 12:17
      Highlight Der "Fehler" ist mir aufgefallen, als ich den Newsletter abgemeldet habe... ;-)
      23 14 Melden
    • Alexander König 13.08.2018 14:03
      Highlight ..und die diese weiterleiten
      18 0 Melden
    • Adam Gretener (1) 13.08.2018 17:26
      Highlight Also ich habe 20 Jahre Onlinemarketing-Erfahrung. Email-Marketing funktioniert um Faktoren besser als Online-Banner oder Ähnliches. Wissen viele nicht und Kunden finden, seie unsexy. Aber wenn Du 10'000 Uhren zu verkaufen hast, würde ich Dir zu Email-Marketing raten.
      12 2 Melden
  • N. Y. P. 13.08.2018 11:59
    Highlight Schön, wie Outfittery schnell reagiert hat.

    Was mich überrascht hat, dass Outfittery bereits 500'000 Kunden hat.
    Outfittery bezahlt Löhne von unter 3000.- und obwohl das fast alle wissen, sind trotzdem eine halbe Million Kunden aktiv am bestellen.
    Im Prinzip ist es uns doch schnuppe, wie sich Firmen verhalten. Hauptsache günstig..
    309 29 Melden
    • Ms. Song 13.08.2018 12:15
      Highlight Ich nehme mal an, dass es sich um 500 000 Kundenkonten firmenweit handelt. Halt es für absolut unrealistisch, dass sie in der CH 500 000 aktive Kunden haben, welche immer wieder bestellen. Viele werden es vielleicht ein mal ausprobiert haben.
      62 7 Melden
    • Oliver Wietlisbach 13.08.2018 12:21
      Highlight Die 500'000 beziehen sich auf alle Länder, wo sie aktiv sind.
      59 0 Melden
    • p4trick 13.08.2018 12:37
      Highlight möchtest du bitte die Firmen aufzählne die du "unterstützt" ich suche dir dann die Probleme raus die diese Firmen haben..
      35 35 Melden
    • Blitzableiter 13.08.2018 12:55
      Highlight Mich überrascht das nicht mehr. Leider. Wenn ich sehe welch Billigschrott meine Mitbewohnerin andauernd bestellt und dann 3/4 davon wieder zurückschickt, weil ja eben Billigschrott, und trotzdem nichts daraus lernt und so weiter macht... wie du sagst: Hauptsache günstig.
      55 1 Melden
    • N. Y. P. 13.08.2018 12:55
      Highlight Nein, @p4trick, will ich nicht.

      Das Thema in diesem Artikel ist Outfittery.
      31 18 Melden
    • Patho 13.08.2018 13:09
      Highlight Outfittery ist eine deutsche Firma und in Deutschland sind 3000€ kein unterirdischer Lohn.
      42 7 Melden
    • zsalizäme 13.08.2018 13:18
      Highlight Ich nehme an die Zahl 500'000 bezieht sich auf die Anzahl registrierter Nutzer. Dies heisst aber noch lange nicht, dass alle diese auch aktiv bestellen. Viele Leute in meinem Umfeld (auch ich) haben mal ein Nutzerkonto bei Outfittery angelegt um den Service zu testen, haben aber nach der ersten Bestellung nie mehr etwas bestellt. Sieh dir mal die Jahreszahlen von Outfittery an, die sind auch nicht unbedingt rosig.
      14 0 Melden
    • p4trick 13.08.2018 13:29
      Highlight @NYP hauptsache Wasser predigen und Wein trinken.. Ich hoffe du kaufst auch keine Nestle Produkte, gehst nie zu Mac Donalds, Burgerking oder Starbucks, bestellst nie bei Amazon und kaufst auch keine Kleider allgemein, denn das meiste stamt auch von Leuten die unter der Armutsgrenze leben. Weiter hoffe ich doch auch dass du kein Kaffee trinkst .. und und und
      12 21 Melden
    • PeteZahad 13.08.2018 13:50
      Highlight Das Thema ist die Sicherheitslücke Bei Outfittery, nicht die Arbeitsbedingungen.
      14 12 Melden
  • lilie 13.08.2018 11:56
    Highlight Gute Aktion von watson! Ein offenbar verbreitetes Problem untersucht, Experten beigezogen und das betroffene Unternehmen direkt angeschrieben!

    Ich bin allerdings nicht gleich begeistert von der Reaktion. Natürlich hat outfittery sofort reagiert und innerhalb 2 Tagen offenbar eine vollständige Lösung implementiert.

    Und genau das stört mich. Denn wenn es ja scheinbar so einfach ist - warum nicht von Anfang an? Und dann noch rummäkeln, es sei nicht in der Verantwortung des Unternehmens, wenn Nutzerdaten an Dritte weitergegeben werden!

    Ein bisschen mehr Einsicht wäre mE angemessen gewesen.
    42 46 Melden
    • zsalizäme 13.08.2018 13:22
      Highlight Ich finde man müsste einfach darauf aufmerksam machen, dass dieser Link direkt aufs eigene Nutzerkonto führt. Dann wäre der Kunde tatsächlich selber in der Verantwortung, meiner Meinung anch zumindest. Wenn ich dir ein E-Mail mit deinen Login Daten sende, leitest du dieses ja auch nicht weiter. Solange das Mail aber nicht verschlüsselt versendet wird und nicht auf diesen Fakt aufmerksam gemacht wird, sehe ich die Unternehmung sehr wohl in der Verantwortung.
      10 2 Melden
    • Alnothur 13.08.2018 13:23
      Highlight Das Unternehmen ist nicht dein Mami.
      7 15 Melden
    • lilie 13.08.2018 13:50
      Highlight @zsalizäme: Ich bin, wie die meisten, kein IT-Experte und gehe, wie im Artikel erwähnt, davon aus, dass der Link beim Weiterschicken sich nicht automatisch einloggt.

      Es ist ein Unterschied, Zugangsdsten weiterzuschicken oder einen offenen Zugang.

      @Alnothur: Zum Glück nicht. Die hat gar keine Ahnung von Sicherheit im Netz.
      18 2 Melden
    • zsalizäme 13.08.2018 14:47
      Highlight @lilie
      Deshalb schreibe ich ja, dass das Unternehmen darauf hinweisen müsste. ;)
      5 0 Melden
    • lilie 13.08.2018 15:38
      Highlight @zsalizäme: Finde es auch dann noch zu heikel. Erstens kann man ein Mail auch ungelesen weiterleiten. Zweitens scheint das Problem ja ganz einfach auf IT-Seite lösbar zu sein, also wozu das Risiko eingegen?

      Immerhin haben sie eingesehen, dass sie sich mit solchen Gefahrenquellen selbst keinen Gefallen tun.
      9 1 Melden
    • Firefly 13.08.2018 19:18
      Highlight @Alnothur, wieso will das Unternehmen dann mehr von mir wissen als Mammi?
      3 1 Melden
    • DichterLenz 13.08.2018 19:19
      Highlight @lilie: bugfreie Software zu schreiben ist fast nicht möglich. Die Kosten wären dermassen noch, dass das so ein Shop ganz sicher nicht zahlen könnte.
      3 1 Melden
    • Anam.Cara 14.08.2018 07:27
      Highlight @lilie: Outfittery behauptet, dass der Link "im Falle einer Weiterleitung" nicht mehr direkt einloggt. D.h., dass es beim ursprünglichen Empfänger nach wie vor als one-click-login funktionieren müsste.
      Da frage ich mich doch, wie sie das technisch überhaupt unterscheiden wollen. Falls sie nämlich das Auto-Login des Browswers nutzen, funktioniert es auch nicht beim richtigen Empfäner nur, wenn er diese Funktion nutzt und schon mal eingeloggt war. Entweder können die mehr als ich (was gut möglich ist) oder die Aussage ist ungenau.
      IT-seitig lässt sich leider nicht immer alles elegant lösen...
      4 0 Melden
    • lilie 14.08.2018 08:01
      Highlight @DichterLenz: Klar, aber es war ja kein Bug, sondern man hat gar nicht darüber nachgedacht.

      @Anam.Cara: Da kann ich jetzt leider wirklich nicht mitreden. Wenn die sagen, sie haben es gelöst, muss ich es glauben.

      Und genau das ist doch das Problem: Otto Normalverbraucher kann einfach nicht abschätzen, was möglich ist und was nicht. Klar versucht man, dumme Fehler zu vermeiden (Login-Daten weitergeben), aber sonst muss ich dem Anbieter vertrauen, dass er auch keine dummen Fehler macht...
      3 0 Melden
    • Adam Gretener (1) 14.08.2018 11:28
      Highlight Anam-Cara: Ich behaupte ja einfach mal so, jetzt müssen sich erstmal alle anmelden, ausser man hat das Login/Passwort fix im Browser hinterlegt.
      4 0 Melden
  • Madison Pierce 13.08.2018 11:53
    Highlight Das erinnert mich an das Webmail eines grossen Schweizer Providers, bei dem früher nach dem Einloggen folgendes in der Adressleiste stand:
    http://webmail.provider.ch/inbox?username=hans@muster.ch&pwd=geheim

    => Passwort schön im Verlauf gespeichert und an jede aus einem Mail geöffnete Website per Referrer weitergeleitet...

    Outfittery gebührt Lob für die schnelle Reaktion, aber man darf schon kritisieren, dass so ein Vorgehen überhaupt gewählt wurde. Das ist ja keine Sicherheitslücke, die der Entwickler nicht entdeckt hat, sondern eine bewusste Entscheidung.
    51 3 Melden
    • G.Oreb 13.08.2018 15:26
      Highlight Naja. Ich denke eher da hat jemand einfach nicht überlegt. Ist dich gut wenn sie gleich einloggen können, aber nicht überlegt dass man die ja weiterleiten kann...
      5 3 Melden
  • DerSimu 13.08.2018 11:52
    Highlight Naja, sie haben schon irgendwie recht. Wenn du den Link weiterleitest, bist du irgendwie selber verantwortlich.
    27 32 Melden
    • zsalizäme 13.08.2018 13:23
      Highlight Das Problem ist wohl, dass sich die meisten Kunden nicht bewusst waren, was dieser Link bewirkt. Ansonsten stimme ich dir zu. Du leitest ein Mail mit deinen Zugangsdaten ja auch nicht deinen Kollegen weiter.
      15 1 Melden
  • Figge 13.08.2018 11:52
    Highlight Übrigens Swisscom verschickt ebenfalls SMS mit direct login. Bspw. mit Aufforderung seine AGB Einstellungen zu überprüfen (Admeira lässt grüssen) ... Wenn man dem Link folgt, ist man auch direkt eingeloggt.
    3 20 Melden
    • cyrill_10 13.08.2018 12:10
      Highlight Meines Wissens logt dich Swisscom über deine SIM Karte ein. Zumindest ist das bei den Roaming SMS so. Befindest du dich in einem WLAN funktioniert das Login nicht.
      34 1 Melden
    • Devante 13.08.2018 12:42
      Highlight da wirst du über deine telefonnummer identifiziert. ist also nicht ganz das gleiche @figge
      26 1 Melden
    • PeteZahad 13.08.2018 13:52
      Highlight Davon abgesehen, dass du über die IMEI identifiziert wirst, würde sicherlich niemand dieses SMS weiterleiten. Mir ists lieber so als noch etwas auszufüllen. Leitest ja auch keine mobilen OTPs weiter...
      3 2 Melden
    • fifiquatro 13.08.2018 14:41
      Highlight WTF läuft denn mit deinem Nick Figge?! :-)
      9 0 Melden
  • nick11 13.08.2018 11:49
    Highlight ich frage mich wie erkannt werden soll, ob der Link von einer weitergeleiteten email oder der original mail geklickt wurde...imho ist das nicht möglich. Vermutlich habe sie auf Loginpflicht umgestellt.
    45 0 Melden
    • cyrill_10 13.08.2018 12:12
      Highlight Klingt für mich auch suspekt. Und Emails werden ja nicht verschlüsselt verschickt also geistern auf irgendwelchen Servern unverschlüsselte E-Mails mit nicht ablaufenden Single-Sign-On Links zu besagtem Webstore herum. Scheint mich überhaupt nicht besser als zuvor!
      25 0 Melden
    • nick11 13.08.2018 12:36
      Highlight genau, solche single sign on tokens haben in emails sowieso nichts verloren, wenn dann nur mit Ablaufenden fürs Passwort zurücksetzen.
      14 0 Melden

Wegen BÜPF: Provider speichern sechs Monate lang, wann du auf welcher Website warst

Vor der Einführung des Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs BÜPF kommunizierten die Behörden, es würden nur Metadaten auf Vorrat gespeichert. Jetzt zeigt sich: Dem ist nicht so. 

Am 1. März trat das umstrittene Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) in Kraft. Im Vorfeld besonders umstritten war die flächendeckende Überwachung von Bürgern und Firmen auf Vorrat, also ohne dass ein Verdacht vorliegen muss. Die Vorratsdatenspeicherung betrifft alle Bürger und Firmen, die Kommunikation über das Internet oder die Post nutzen – sprich die gesamte Bevölkerung.

Der Bundesrat und die Mehrheit des Parlaments argumentierten, das Sammeln von …

Artikel lesen