Merkwürdigkeit: Webshop füllt (falsche IP-bezogene) Postleitzahl bei Bestellung aus

Heute eine Frage aus der Blog-Leserschaft, auf die ich noch keine richtige Antwort weiß. Ein Leser berichtet von einer Beobachtung, dass auf einer bestimmten Webseite bei Bestellvorgängen eine falsche Postleitzahl in die Lieferadresse eingetragen wurde. Diese Postleitzahl scheint von der IP-Adresse des Benutzers abgeleitet worden zu sein, egal, ob ein VPN benutzt wird oder nicht.


Anzeige

Es ist schon eine seltsame Beobachtung, die mir der Blog-Leser in einer privaten Nachricht auf Facebook geschildert hat. Bei einer kurzen Suche im Internet konnte ich keinen anderen Fall finden (habe aber möglicherweise etwas übersehen). Hier die Schilderung des Blog-Lesers:

Guten Abend,

ich wollte vorab sagen, dass ich Ihren Blog gerne verfolge und dieser für mich sehr wichtig ist. Mir ist aktuell eine Sache in einem Shop aufgefallen, zu welcher ich keine Infos finde, vielleicht ist das Thema bekannt nur ich bin blind.

  • Ich wollte auf der Website www.richtigwissen.de ein Buch im Shop ordern. Cookies wurden nicht angeklickt bzw. individuell abgelehnt.
  • Buch reingelegt, weiter geklickt zum Warenkorb und plötzlich erscheinen mir die Versandkosten nach NRW.
  • Ich denke mir nichts dabei und klicke weiter zur Eingabe meine Kontakt- und Bezahldaten. Plötzlich sehe ich da schon eine PLZ angegeben, welche nicht zu mir passt, sondern zu meiner IP.

Ich wurde stutzig, hab es im inkognito-Modus probiert, gleiches ist aufgetaucht die PLZ wurde aus der IP bezogen. Weitere Maßnahmen waren:

  • Cookies gelöscht,
  • VPN dahinter geschaltet,
  • uBlock und Konsorten im Browser selbst angeschaltet

Immer das gleiche, die PLZ wurde aus der IP bezogen, trotz abgelehnter oder nicht angeklickter Cookies diverser Browser und Geräte (Laptop / Smartphone / Tablet). Standortfreigaben sind nie an, hab es auch gegen gecheckt.

Wie kann so etwas passieren? Gibt es ein Tool dafür oder habe ich etwas verpasst im Datenschutz etc.

Vielleicht haben Sie einen Hinweis.

Danke !

An dieser Stelle gingen mir auch die Ideen aus, zumal der Leser ja beschrieb, was er alles versucht hat. Es sieht so aus, dass der Web-Shop die IP des Besuchers verwendet, um die Postleitzahl zu bestimmen und dann in das Feld der Versandadresse einträgt. Warum dies so gemacht wird, entzieht sich meiner Kenntnis – denn sinnvoll erscheint es mir ad-hoc nicht. Fällt jemanden aus der Leserschaft dazu etwas ein? Ich könnte da bei Gelegenheit auch mal beim Betreiber der Webseite nachfragen, ob es eine Erklärung gibt. Aber ad hoc habe ich vor einigen Stunden die Entscheidung getroffen "das ist ein Fall von wundersames Internet, das soll in den Blog".


Anzeige

Dieser Beitrag wurde unter Internet abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Merkwürdigkeit: Webshop füllt (falsche IP-bezogene) Postleitzahl bei Bestellung aus

  1. A. B. sagt:

    (Nur ein Analyseansatz, ich habe keine Ahnung im Detail über aktuelle Location- und Tracking-Mechanismen…)

    Vlt. war entscheidend, wie anonym er beim Zeitpunkt der Registrierung (nicht bei der Bestellung) war, bei der die IP mit registriert wird… Vlt. lässt sich mit Hilfe vieler anderer Nutzer(daten) von Tracking-Dienstleistern herausfinden, wo eine IP örtlich hinführt ?

    Aus https://www.richtigwissen.de/datenschutz

    4. Registrierung
    a) Beschreibung und Umfang der Datenverarbeitung
    Auf unserer Internetseite bieten wir Nutzern die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren. Die Daten werden dabei in eine Eingabemaske eingegeben und an uns übermittelt und gespeichert. Eine Weitergabe der Daten an Dritte findet nicht statt. Folgende Daten werden im Rahmen des Registrierungsprozesses erhoben:

    Vor- und Nachname,
    E-Mail-Adresse,
    Kontodaten,
    Adresse (bei Produktversand).

    Der Newsletter-Versand erfolgt aufgrund der Anmeldung des Nutzers auf der Website:
    Hierdurch wird ebenfalls ein Widerruf der Einwilligung der Speicherung der während des Anmeldevorgangs erhobenen personenbezogenen Daten ermöglicht.

    Im Zeitpunkt der Registrierung werden zudem folgende Daten gespeichert:
    (1) Die IP-Adresse des Nutzers
    (2) Datum und Uhrzeit der Registrierung

    Im Rahmen des Registrierungsprozesses wird eine Einwilligung des Nutzers zur Verarbeitung dieser Daten eingeholt.

  2. beat sagt:

    Die ganze Webseite wurde mit wix.com gebastelt. Ich denke mit einem Klick könnte der Betreiber das ändern. Die falsche Postleitzahl wird auch schon vor der Registrierung eingetragen.

  3. ibbsy sagt:

    Bin mal interessehalber mit deutschem Proxy, hinter dem ein VPN in die Schweiz verweist, rein.
    Nach Entsperren nahezu aller "Verbote" in uBlock und etlichem bei uMatrix (wix.com, parastorage) zeigt die Seite mir während Registrierungsvorgang ebenfalls an Proxy-IP angelehnte PLZ an. Also offensichtlich hängt da ne Datenbank dran, die sich am Serverstandort der IP orientiert.
    Kann auch bestätigen, dass schon im Warenkorb Bezug auf IP genommen wird.

    Bei Eingabe zB dreier "vvv" im Adressfeld erhält man Auswahl indischer Anschriften. Auch hier also ne riesige Datenbank mit alphabetisch sortierten Adressen dahinter.

    Habe gelegentlich schon Ähnliches nach Angabe der PLZ in Adressfeldern gesehen, also dass passende Straßen sowie der Ort automatisch in Auswahlfeld vorgeschlagen wurde. Hier wurden also offenbar sehr umfassend Datenbanken eingepflegt.

    Interessant wäre in der Tat, inwieweit es datenschutzrechtlich iO ist, schon im Warenkorb die IP "abzufragen".

    • ibbsy sagt:

      Ergänzung:
      …Datenbanken eingepflegt..und dabei wohl versehentlich PLZ-Feld mit der IP verknüpft.

    • Luzifer sagt:

      naja bei einem Warenkorb möchtest du ja "Ware bekommen" von daher notwendige Daten (die IP auch als Schutz gegen Hoax Bestellungen) solange die IP nach Ablauf /Auftragsabfertigung wieder gelöscht wird ist das aus Datenschutzgründen kein Problem.

      • Luzifer sagt:

        /edit/
        ein großes Mißverständnis der DSVGO: diese verbietet dir mitnichten das Sammeln von Daten, technische notwendige Daten dürfen ohne weiteres gesammelt werden, technisch nicht notwendige Daten ebenso, dann musst du aber vorab darüber informiert werden und die Möglichkeit haben abzulehnen.

        • ibbsy sagt:

          Danke für die Erläuterung! Hast Du natürlich völlig recht. Da hat mein DSVGO-Empörungsmelder mich zu früh getriggert..

        • M.D. sagt:

          Und hier existiert bereits ein riesiges Problem hinsichtlich der DSGVO (siehe Abmahnungen wegen Google-Fonts).

          Die Seite wird bei "fastly.net" gehostet. Das sagen sowohl eine Suche bei "www.iplocation.net" als auch ein wireshark-Mitschnitt des Aufrufs der Seite. Die Verbindung zu "wixpin.map.fastly.net" wird aufgebaut, noch bevor überhaupt eine weitere Interaktion des Users möglich ist. Um den minimalen funktionalen Cookies zustimmen zu können, muss man in NoScript der Domain "richtigwissen.de" die Berechtigung erteilen. Wenn man nur den minimalen Cookies zustimmt und die Seite neu lädt, werden reihenweise weitere Domains kontaktiert, zusätzlich zu "parastorage.com" und "wixstatic.com", die bereits beim initialen Aufruf der Seite kontaktiert wurden, die auch Berechtigungen zur Ausführung von Scripten benötigen.

          In Anbetracht des Google-Fonts-Urteils hat die Seite somit ein echtes Problem.

          Zu Beginn läuft die Kommunikation zu fastly.net noch über TCP, im weiteren Verlauf wird dann zu QUIC gewechselt.

          Datenschutz ist ja wirklich ein hohes und wichtiges Gut, aber im aktuellen Netz ist die DSGVO unmöglich einzuhalten, aber schon gar nicht, wenn DE-Webseiten in Clouds amerikanischer Anbieter gehostet werden.

          Das Problem beginnt eventuell bereits noch früher, und zwar bei der Verwendung der Google-DNS. Das liegt dann natürlich in der Verantwortung der User.

  4. Andyt sagt:

    Habe ebenso selbst herum probiert. Die Adresse wurde auch bei mir weit früher angezeigt. Denke ab den Zeitpunkt wo man in den Shop gelangt wird das Feld für die Versandkosten (vor)berechnet. Da kann rechts der Warenkorb eingeblendet werden bzw. wird automatisch eingeblendet sobald das erste Produkt in den Warenkorb gelegt wird.

    Dabei wird die erste mögliche IP-Adresse mit Geotag genutzt die via Maxmind – z.B. von GeoIP2 – auf eine Adresse umgewandelt wird. Zumindest zeigen meine Versuche, dass hier eine womöglich schon ältere Datenbankversion genutzt wird.

    Kann man leicht selbst überprüfen mittels tracert auf die Webseite und von oben weg die IP-Adresse nacheinander bei Webdiensten für Lokalisierung eingeben.

  5. A. Nonym sagt:

    Es gibt verschiedene kostenlose Anbieter von GeoIP, einer davon konnte meinen Standort auf ca. 100 Meter genau angeben (andere lagen weit daneben).

    Von Netflix und Co ist bekannt, dass das Herkunftland auch bei Nutzung von VPN erkannt wird, vermutlich geht es mit Java-Script und "WebRTC", da eine zweite, vom VPN unabhängige Verbindung, aufbaut.

  6. Bolko sagt:

    Die im Artikel oben erwähnte Seite www[.]richtigwissen[.]de zeigt bei mir die korrekte Postleitzahl an. Eine Registrierung, Anmeldung, Cookies sind dafür nicht notwendig.

    Tools zur Geolocation:

    richtiger Staat, aber falsches Bundesland (also praktisch Schrottanzeige):
    ipgeolocation[.]io
    db-ip[.]com
    (die hören also beim dem Haupt-Internetknoten von Deutschland auf zu tracen, dem DE-CIX in Frankfurt)

    richtiges Bundesland, aber falsche Stadt, ca 40 km Luftlinie entfernt:
    www[.]iplocation[.]net
    www[.]ip2location[.]com
    www[.]geolocation[.]com/de
    (Bis ca Januar 2021 wurde aber eine andere Stadt angezeigt, nämlich die Landeshauptstadt. Offenbar hat mein Provider Vodafone da etwas umgebaut nach dem Kauf von Unitymedia, obwohl die Landeshauptstadt auch nicht weiter entfernt ist als die angezeigte Stadt.)

    korrekte Stadt, aber falsche Postleitzahl (aber korrekte ehemalige Postleitzahl):
    tools[.]keycdn[.]com/geo
    ipregistry[.]co
    (ipregistry[.]co Zeigt bei mir allerdings auch zusätzlich "Arcor" (Company, Organisation) und Vodafone (Carrier) an, während andere Tools nur noch Vodafone anzeigen. Früher war ich Arcor-Kunde bevor Vodafone Arcor gekauft hatte und die angezeigte Postleitzahl stimmt mit meiner alten Adresse überein, bevor ich umgezogen bin. Da scheint es also Kundendatenbanken zu geben, in denen teilweise noch die alten Wohnadressen gespeichert sind.)

    korrekte Postleitzahl:
    www[.]livewatch[.]de
    www[.]home[.]neustar/resources/tools/ip-geolocation-lookup-tool

  7. GüntherW sagt:

    Mal eine naive Frage, warum nutzt man sowas auf einer Webseite überhaupt?

    Es ist ja mitnichten gewährleistet, dass in die korrekte PLZ aufgelöst wird bzw. schon die vom Kunden gewünschte PLZ eingetragen ist. Wäre es nicht besser der Kunde macht kritische Angaben selber?

    Im Gegenzug fehlt scheinbar auch die Funktion, dass wenn man die PLZ eingibt die Stadt vorgeschlagen wird. Das finde ich wiederum wirklich hilfreich. Das wäre zur Selbstkontrolle des Kunden gut bzw. er würde sich hier wirklich Tipparbeit ersparen.

  8. Steter Tropfen sagt:

    Vielleicht kapiere ich den Grund der Aufregung nicht, aber dass eine Seite von meiner IP auf meinen Wohnort schließt, ist doch überhaupt nichts Neues. Fällt bloß denjenigen nicht auf, die fleißig Cookies sammeln und daher immer überall automatisch eingeloggt werden. Und natürlich gibt es auch Leute, die ihren Browser eingegebene Formulardaten speichern lassen und sich dann wundern, wenn ihre Adresse (und die Kreditkartennummer!) beim nächsten Bestellformular bereits vorausgefüllt sind.

    Auf Ebay-Seiten z.B. steht bei mir seit Jahren „Lieferung an dem und dem Tag nach [Postleitzahl] bei heutigem Zahlungseingang." Wobei die Postleitzahl offenbar aus dem Versorgungsgebiet meines Providers stammt, weil sie zwar immer aus der Region ist – aber noch nie gestimmt hat.

    Die Idee, aus der IP mehr als nur den groben Ortsbereich ablesen zu wollen, zeugt von ziemlicher Unkenntnis. Genau deswegen stört mich das auch nicht allzu sehr.

  9. Wolfi sagt:

    Der Versuch, mit der IP-Adresse die Postleitzahl zu bestimmen und dem Nutzer quasi als Komfortfunktion gleich in das Bestellformular einzutragen, hat was. Aber es sollte halt funktionieren und das tut es bekanntermaßen eher sehr selten. Möglicherwiese war der Programmierer aber von seiner Lösung so fasziniert, dass er den Fehler nicht erkannte. Das kommt immer wieder mal vor, vor etlichen Jahren hatte ich einmal ein Formular, dass Emailadressen mit einem Punkt vor dem "@" nicht akzeptieren wollte. Gut gemeint und schlecht gemacht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.