Bei der Tochter Funke Fon der Funke Mediengruppe hat es einen Datenschutzvorfall gegeben. Nutzer konnten mit einfachen Mitteln die persönlichen Daten von anderen Gewinnspielteilnehmern einsehen.
Anzeige
Gewinnspiele dienen oft dem Sammeln von Benutzerdaten (lediglich hier im Blog achte ich peinlich darauf, eine Zusage der Verlage zu haben, dass Daten der Gewinner eines solchen Gewinnspiels nach dem Versand des Gewinns gelöscht werden). Früher hat man das per Postkarte veranstaltet – heute läuft dies per Internet ab.
Obige Webseite der Funke Fun zeigt eine Reihe Gewinnspiele, die laufen bzw. bereits abgelaufen sind. Die Nutzer können sich dort über mögliche Gewinne informieren und bekommen nach einer Registrierung für ein Gewinnspiel, bei dem entsprechende Daten wie Name und E-Mail-Adresse sowie Anschrift einzugeben sind, auch die Möglichkeit, ihre Daten einzusehen.
Das kann aber in die Hose gehen, so dass die eigenen Daten nicht nur beim Gewinnspielanbieter und dessen Kunden landen, sondern von Jedermann eingesehen werden können.
Anzeige
Prämienaktion verrät Daten
Wer an einer Gewinnspielaktion teilnimmt, muss in einem Formular eine Reihe Angaben tätigen. Ich habe nachfolgend mal eine solche Test-Anmeldung als Screenshot abgebildet.
Teilnehmerformular Gewinnspiel Funke Mediengruppe
Nach dem Abschicken des Teilnehmerformulars heißt es dann für den Teilnehmer "Krisch isch die Milljon?", so dass die Funke Fun den Leuten eine Mail mit der Bestätigung und einem Link zu den Daten zugeschickt hat. Einem Teilnehmer kam der Link in der Art:
irgendwie "spanisch" vor. Irgendwie machte ihn die Zahl am Ende der URL stutzig und er probiere einfach mal die 4444000. Damit bekam er Zugriff auf die Daten eines anderen Teilnehmers. Durch Variation des ID-Codes konnte er die Daten der Teilnehmer am Gewinnspiel einsehen. Der Teilnehmer wandte sich an die Redaktion von heise, die das Ganze nachvollziehen konnten und in diesem Artikel dokumentiert haben.
Die Redakteure haben sich die Mühe gemacht und an mehreren Gewinnspielen teilgenommen. Die Teilnehmer-ID in den letzten Ziffern der URL wurde fortlaufend generiert. Dritte, die dies wussten, hätten die Daten der Teilnehmer abrufen und einsehen können. Laut heise fielen binnen 24 Stunden um die 20.000 Datensätze an.
Die Funke Mediengruppe wurde von heise informiert und hat dieses Leck inzwischen geschlossen. Laut Auskunft wären Daten nach einigen Wochen automatisch gelöscht worden. Der Vorfall wurde aber von der Gruppe als als meldepflichtigen Datenschutzverstoß im Sinne der DSGVO eingestuft, so heise. Die zuständige Berliner Landesdatenschutzbeauftragte wurde informiert – die betroffenen 85.664 Teilnehmer sollen über den Fall informiert werden.
Anzeige
Sind das etwa diese Art "Gewinnspiele", bei denen man per SMS oder Telefon einfach nur ein Kennwort "Ball" o.ä. versenden soll und dann angeblich die Chance auf 1.000.000 € oder wertvolle Geräte hat?
Das kommt in regelmäßigen Abständen bei den "Privaten" TV-Sendern.
Wenn ja, wie dumm muss man sein, um auch nur an eine geringe Gewinnchance zu glauben?
Das ist doch die pure Abzocke, da werden Telefongebühren von den Anrufern abgezockt und die Telekom ist mit im Boot, kassiert mit ab.
Und natürlich werden die Daten der Teilnehmer auf der Webseite getrackt.
Dieses Sicherheitsleck ist doch pure Absicht und jetzt, da die Sache wohl ein größeres Ausmaß hat, will man das Leck angeblich schließen.
Das ist doch schon kriminell und mich wundert es, dass der Rundfunkrat der Länder da noch nicht aktiv geworden ist. Oder ein Staatsanwalt.
Das gehört verboten, aber das scheint wohl niemanden zu interessieren.
Wer regelmäßig Lotto spielt oder an anderen legalen Glücksspielaktionen teilnimmt, dürfte hier empfänglich sein.
Das Prinzip hoher Gewinn bei sehr niedriger Erfolgsquote greift halt immer noch, egal über welches Medium.
Das Dumme ist nur, dass man bei solchen Aktionen immer mit seinen Daten bezahlt, egal ob man nun gewonnen hat oder nicht.
Ich würde sagen, dass das eine Schwäche des durchschnittlichen, menschlichen Hirns ist, dass man sein Glück irgendwie erzwingen könnte, egal ob man nun eine Hasenpfote in der Tasche hat oder meint, dass man nach einer Jahrzehnte währenden Misserfolgsquote nun endlich an der Reihe sei fürs große Los.
Wer auch nur eine Ahnung vom Zufall hat, weiß, dass bei tausend Würfen es wahrscheinlich ist, dass man tausendmal hintereinander eine Niete zieht. Es gibt kein Gedächtnis, dass speichert, wie oft man leer ausgegangen ist.
Dass es hier eine ziemlich dilettantische Sicherheitslücke gab, ist dann nur noch eine Randnotiz. Ein Hashwert in der URL hätte es deutlich sicherer gemacht.
Etwas Licht in die Dunkelheit:
https://www.manager-magazin.de/unternehmen/funke-mediengruppe-sorgt-verschuldeten-grossaktionaer-a-00000000-0002-0001-0000-000169534504
https://www.horizont.net/medien/nachrichten/Holthoff-Pfoertner-bleibt-Gesellschafter-NRW-Medienminister-uebertraegt-Funke-Stimmrechte-auf-seinen-Adoptivsohn-159393
https://de.wikipedia.org/wiki/Stephan_Holthoff-Pf%C3%B6rtner
Übrigens ist Ronald Pofalla seit 1993 ebenfalls Rechtsanwalt der Kanzlei Holthoff. Und über den Schlenker kam Helmut K. zum Rechtsbeistand in Sachen Spendenglück.
Ich hör jetzt auf, bevor es kompliziert wird.