Datenschutzvorfall bei Gewinnspielseite der Funke Mediengruppe

Bei der Tochter Funke Fon der Funke Mediengruppe hat es einen Datenschutzvorfall gegeben. Nutzer konnten mit einfachen Mitteln die persönlichen Daten von anderen Gewinnspielteilnehmern einsehen.


Anzeige

Gewinnspiele dienen oft dem Sammeln von Benutzerdaten (lediglich hier im Blog achte ich peinlich darauf, eine Zusage der Verlage zu haben, dass Daten der Gewinner eines solchen Gewinnspiels nach dem Versand des Gewinns gelöscht werden). Früher hat man das per Postkarte veranstaltet – heute läuft dies per Internet ab.

Gewinnspielseite Funke Mediengruppe

Obige Webseite der Funke Fun zeigt eine Reihe Gewinnspiele, die laufen bzw. bereits abgelaufen sind. Die Nutzer können sich dort über mögliche Gewinne informieren und bekommen nach einer Registrierung für ein Gewinnspiel, bei dem entsprechende Daten wie Name und E-Mail-Adresse sowie Anschrift einzugeben sind, auch die Möglichkeit, ihre Daten einzusehen.

Das kann aber in die Hose gehen, so dass die eigenen Daten nicht nur beim Gewinnspielanbieter und dessen Kunden landen, sondern von Jedermann eingesehen werden können.


Anzeige

Prämienaktion verrät Daten

Wer an einer Gewinnspielaktion teilnimmt, muss in einem Formular eine Reihe Angaben tätigen. Ich habe nachfolgend mal eine solche Test-Anmeldung als Screenshot abgebildet.

Teilnehmerformular Gewinnspiel Funke Mediengruppe
Teilnehmerformular Gewinnspiel Funke Mediengruppe

Nach dem Abschicken des Teilnehmerformulars heißt es dann für den Teilnehmer "Krisch isch die Milljon?", so dass die Funke Fun den Leuten eine Mail mit der Bestätigung und einem Link zu den Daten zugeschickt hat. Einem Teilnehmer kam der Link in der Art:

irgendwie "spanisch" vor. Irgendwie machte ihn die Zahl am Ende der URL stutzig und er probiere einfach mal die 4444000. Damit bekam er Zugriff auf die Daten eines anderen Teilnehmers. Durch Variation des ID-Codes konnte er die Daten der Teilnehmer am Gewinnspiel einsehen. Der Teilnehmer wandte sich an die Redaktion von heise, die das Ganze nachvollziehen konnten und in diesem Artikel dokumentiert haben.

Die Redakteure haben sich die Mühe gemacht und an mehreren Gewinnspielen teilgenommen. Die Teilnehmer-ID in den letzten Ziffern der URL wurde fortlaufend generiert. Dritte, die dies wussten, hätten die Daten der Teilnehmer abrufen und einsehen können.  Laut heise fielen binnen 24 Stunden um die 20.000 Datensätze an.

Die Funke Mediengruppe wurde von heise informiert und hat dieses Leck inzwischen geschlossen. Laut Auskunft wären Daten nach einigen Wochen automatisch gelöscht worden. Der Vorfall wurde aber von der Gruppe als als meldepflichtigen Datenschutzverstoß im Sinne der DSGVO eingestuft, so heise. Die zuständige Berliner Landesdatenschutzbeauftragte wurde informiert – die betroffenen 85.664 Teilnehmer sollen über den Fall informiert werden.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Datenschutzvorfall bei Gewinnspielseite der Funke Mediengruppe

  1. micha45 sagt:

    Sind das etwa diese Art "Gewinnspiele", bei denen man per SMS oder Telefon einfach nur ein Kennwort "Ball" o.ä. versenden soll und dann angeblich die Chance auf 1.000.000 € oder wertvolle Geräte hat?
    Das kommt in regelmäßigen Abständen bei den "Privaten" TV-Sendern.

    Wenn ja, wie dumm muss man sein, um auch nur an eine geringe Gewinnchance zu glauben?
    Das ist doch die pure Abzocke, da werden Telefongebühren von den Anrufern abgezockt und die Telekom ist mit im Boot, kassiert mit ab.
    Und natürlich werden die Daten der Teilnehmer auf der Webseite getrackt.
    Dieses Sicherheitsleck ist doch pure Absicht und jetzt, da die Sache wohl ein größeres Ausmaß hat, will man das Leck angeblich schließen.

    Das ist doch schon kriminell und mich wundert es, dass der Rundfunkrat der Länder da noch nicht aktiv geworden ist. Oder ein Staatsanwalt.

    Das gehört verboten, aber das scheint wohl niemanden zu interessieren.

    • Holger sagt:

      Wer regelmäßig Lotto spielt oder an anderen legalen Glücksspielaktionen teilnimmt, dürfte hier empfänglich sein.
      Das Prinzip hoher Gewinn bei sehr niedriger Erfolgsquote greift halt immer noch, egal über welches Medium.
      Das Dumme ist nur, dass man bei solchen Aktionen immer mit seinen Daten bezahlt, egal ob man nun gewonnen hat oder nicht.
      Ich würde sagen, dass das eine Schwäche des durchschnittlichen, menschlichen Hirns ist, dass man sein Glück irgendwie erzwingen könnte, egal ob man nun eine Hasenpfote in der Tasche hat oder meint, dass man nach einer Jahrzehnte währenden Misserfolgsquote nun endlich an der Reihe sei fürs große Los.

      Wer auch nur eine Ahnung vom Zufall hat, weiß, dass bei tausend Würfen es wahrscheinlich ist, dass man tausendmal hintereinander eine Niete zieht. Es gibt kein Gedächtnis, dass speichert, wie oft man leer ausgegangen ist.

      Dass es hier eine ziemlich dilettantische Sicherheitslücke gab, ist dann nur noch eine Randnotiz. Ein Hashwert in der URL hätte es deutlich sicherer gemacht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.