Kurzer Hinweis für Leserinnen und Leser, die möglicherweise auf der Plattform calumet.de Ein Benutzerkonto eingerichtet haben, um Kameras zu kaufen. Der Anbieter informierte Kunden gerade, dass es einen unbefugten Datenzugriff über einen Drittanbieter gegeben habe.
Der Anbieter calumet betreibt unter der URL calumet.de eine Plattform, in der neue und gebrauchte Kameras, aber auch weiteres Zubehör, über einen Shop vertrieben werden.
Zudem gibt es auf der Seite noch einen Bereich "Calumet Magazin – dein Foto- und Videoblog" in dem Produktvorstellungen, Tests etc. zu finden sind. Alles in allem sicherlich eine Anlaufstelle für Fotografen und Hobbyisten.
Ein Blog-Leser, der Kunde bei diesem Anbieter ist, hat mich per Mail über einen Datenschutzvorfall informiert (danke dafür). Der Leser wurde von Calumet darüber informiert, dass ein unbefugter Dritter kurzzeitig eingeschränkten Zugriff auf ein vom Unternehmen genutztes System eines Drittanbieters erlangt hat. Es wird allerdings nicht angegeben, um welches System es sich handelt und wann dieser Zugriff erfolgte.
Das Unternehmen gibt an, dass seine eigenen IT-Experten den Zugriff frühzeitig erkannt, sofort unterbunden und bereits weitere Maßnahmen zum Schutz deiner Daten umgesetzt haben. Dazu gehören beispielsweise eine externe Überprüfung der Systeme, die zusätzliche Verstärkung der IT-Sicherheit und die Optimierung der Abläufe.
Laut obiger Mitteilung von Calumet besteht daher die Möglichkeit, "dass einige der Kontaktdaten registrierter Kunden von einem Datenleck betroffen waren" und eigentlich immer noch sind. In der Mitteilung heißt es, dass die Lücke bereits geschlossen ist und es seien weder sensible Daten wie Passwörter, Kreditkartendaten oder Kaufinformationen noch Kommunikationsinhalte betroffen.
Der Vorfall wurde zudem der Hamburger Datenschutzbehörde gemeldet und zur Anzeige gebracht. Allerding könnten die E-Mail-Adresse, die für die Anmeldung bzw. Korrespondenz mit Calumet verwendet wurde, sowie der Vor- und Nachname, sofern angegeben, durch diesen Vorfall allerdings offengelegt worden sein. In der Information folgen die üblichen Ratschläge, wachsam zu sein und insbesondere bei verdächtigen E-Mails Vorsicht walten zu lassen. Die betroffenen Daten könnten zum Beispiel dazu verwendet werden, Phishing-Nachrichten glaubwürdiger erscheinen zu lassen. Wenn unerwartete Nachrichten, insbesondere solche, in denen der Empfänger nach persönlichen Daten gefragt oder zu bestimmten Handlungen aufgefordert wird, eintreffen, solle man bitte die Echtheit der Mail überprüfen.
Es passt gerade im Kontext – die Zahl der Datenschutzvorfälle hat inzwischen so große Ausmaße angenommen, dass die Regierung in Südkorea drastische Maßnahmen angekündigt hat (The Register hat das hier aufgegriffen), um Identitäten sicherzustellen. Wer in Südkorea eine SIM-Karte (oder eSIM) bestellen will, muss sich als neuer Kunde zur Prüfung der Identität einem Gesichtserkennungsscan unterziehen. So will Südkorea die Zahl der Betrugsfälle reduzieren. In Deutschland ist der Identitätsnachweis bei der Aktivierung von SIMs ja seit Jahren Pflicht.
MVP: 2013 – 2016
Aus genau diesem Grund nutze ich schon seit geraumer für jede neue Anmeldung Dienste wie
addy.io
simplelogin.io
unbox.at
DuckDuckGo
in Verbindung mit Bitwarden.
Zum einen lässt sich damit gut nachverfolgen woher eine Mail kommt und zum anderen kann man die Adressen bei Missbrauch mit einem Klick deativieren oder ganz wegwerfen.
Ich habe eine email von Calumet bekommen das meine Daten betroffen sind. Interessant ist, das die Mail nicht an die Adresse gegangen ist mit der ich mich bei Calumet registriert habe, sondern meiner Adresse die ich zur Bezahlung genutzt habe mit Paypal.
Eine Unart bei manchen Dienstleistern wie auch Shops. Auf dem Grund ändere ich meine PayPal-Adresse zyklisch.
Betr. "Auf dem Grund ändere ich meine PayPal-Adresse zyklisch.":
Typischer Fall von 'sich selbst ins Bein schiessen'!
In vorliegendem Falle wäre die eMail von Calumet dann u. U. an eine nicht mehr existierende eMail-Adresse gegangen mit der Folge, dass der Kunde keine Kenntnis von dem ihn potentiell betreffenden Datenabfluss erhalten hätte.
Behälts du die alten Adressen trotzdem, sonst könnten ja Info vom Shop an eine andere Person gehen.
Ich habe den Spaß mit 2 Adressen vorname.nachname@t-online.de erlebt, die wohl vorher schon mal vergeben waren. Da bekommt man nach Jahren noch interessante Mails ;-)
Was auch ein völliges Versagen des Gesetzgebers offenbart und den Chaos-Charakter von Internet-EDV unterstreicht. Dass diesem schon seit Jahren auch unter Juristen diskutierten Missstand nicht längst schon ein Riegel vorgeschoben wurde, erstaunt insb. angesichts grassierender Identitätsdiebstähle.