Skip to content

Sicherheitslücke bei QYPE

Kabelfreak Ich hab mir einen Account bei QYPE gemacht, weil die Restaurantsuche in Google Maps die Wertungen von QYPE anzeigt und ich die Option haben wollte, da eventuell mal meine eigene Bewertung abliefern zu können. Zum Testen hab ich meinen Account erst mal auf quasi-unsichtbar geschaltet: ich hab nur meinen Kontakten erlaubt, mich zu sehen oder anzuschreiben, aber ich habe gar keine Kontakte. Trotzdem krieg ich seither jeden Morgen um Punkt vier eine Mail von wechselnden QYPE-Community-Managern, die mir ihre Unterstützung und ewige Freundschaft anbieten. Weil das nervt, hab ich QYPE angeschrieben:

Hey,

I want to report a security issue in your system.

I have no contacts, I have set my account so it's only visible to those (non-existing) contacts and so only my (non-existing) contacts can send messages to me.

Yet I have received three mails in the past four days, all claiming to be from "members of the UK community team".

I am sure this must be a bug or a security breach on your side, since real members of your community teams would certainly honor my account settings and my wish for privacy. Also, if they were real persons from your team, they would probably not be in the habit of sending all their mail at precisely 2:00 am (UK local time) in the morning.

Regards,
Marc


Mal sehen, wieviel Humor der QYPE-Support hat.

Nachtrag, 1. Juni 2011: QYPE hat geantwortet:

Hi Marc,

Thanks for your message. We can assure you that those messages are from genuine members of the Qype team – they are automated and sent to all new members of the Qype community, intended as a welcome.

But thanks for your feedback. We will look into ensuring that these messages appear to be more genuine in the future.

Kind regards,

The Qype Team


"appear to be more genuine" ist so herrlich zweideutig — ja, der QYPE-Support hat Humor!

Gebt ihnen fünf!

KabelfreakMedienjunkieSchwarzseher Die Piratenpartei sammelt Spenden, um sich für ihren tollen "Ich bin Pirat!"-Werbespot (mindestens) einen zusätzlichen Sendeplatz bei (mindestens) einem Privatsender zu kaufen. Ich bin zwar kein Pirat… also schon, aber nicht so… und tendiere immer noch dazu, meine Stimme dem Oskar zu geben, aber die Piraten haben es verdient, sich einer größeren Öffentlichkeit zu präsentieren.



Da unsere unabhängigen und freien Medien im redaktionellen Teil neben Ulla Schmidts Dienstwagen und Ackermanns Geburtstagsparty offensichtlich keinen Platz mehr übrig haben und da ich finde, dass die im Piratenspot angesprochen Themen — Patente und Urheberrecht, Überwachungsstaat und Chancengleichheit in der Bildung — in den Wahlkampf gehören, habe ich fünf Euro locker gemacht.

Haste mal 'ne Mark?

Sondernewsletter am Arsch, Samsung!

KabelfreakMedienjunkie Hört mal, liebe Werbeonkels und -tanten bei Samsung,

wenn ich bei Euch aus irgendeinem Grund mal meine Mailadresse hinterlassen muss und mir dabei extra die Mühe mache, alle von Euch freundlicherweise schon gesetzten Häkchen in den "Ich den Werbemails von Samsung und sonstwem erhalten"-Checkboxen zu löschen, dann bedeutet das nicht: "Ich will zwar normalerweise keine Werbemails haben, aber wenn Ihr eine Eure Reklame besonders wichtig findet, dann dürft Ihr sie mir ausnahmsweise trotzdem schicken!"

Dass Samsung Teile des Werbeetats dafür verballert, die Dopingwettkämpfe dieser Welt zu unterstützen, schindet bei mir keinen Eindruck. Ich will weder an Euren Sportartikelgewinnspielen teilnehmen noch meine "Produkte registrieren" (Übersetzung: "meine persönlichen Daten beim Hersteller abliefern, ohne dafür jemals eine Gegenleistung zu bekommen").

Drum hab ich flugs ans Ende der Nachricht geblättert, um den da den Link zum endgültigen Abbestellen des Spams zu suchen. Statt dessen finde ich da diesen Hinweis:

"Eine Abmeldung des Newsletters ist nicht erforderlich, da dies ein einmaliger Sondernewsletter ist."


Geile Argumentation. Ich übersetz das mal: "Du willst keine Reklame von uns? Du kannst uns mal am Arsch lecken."

Auch so.

Mit freundlichem Gruß,
der Samsung-Produkte-jetzt-erst-recht-nicht-Registrierer

Nachtrag, 28. August 2009: Wunder der Technik: Man kann den "Sondernewsletter" jetzt abbestellen, auch wenn man ihn nie abonniert hatte… (via Kommentar — danke, Stefan!)

Facebook scheißt auf Sicherheit

Kabelfreak Wenn man sich bei Facebook registriert und dabei Javascript eingeschaltet hat, werden die eingegebenen persönlichen Daten — darunter Mailadresse, Geburtsdatum und das gewählte Facebook-Passwort — im Klartext quer durch das Netz geschickt.

Eine Abhilfe scheint zu sein, Javascript vor dem Aufruf der Facebook-Seite abzuschalten, dann wird die FORM per https abgeschickt.

Bei Durchsicht unserer Datenbank

Kabelfreak Wir bekamen heute Post von einer uns unbekannten Versicherungsagentur:

Bei Durchsicht unserer Datenbank haben wir festgestellt, dass Sie uns mit Ihrer XYZ-Versicherung Ihr Vertrauen schenken. Eine Autoversicherung haben wir leider nicht registriert. Das möchten wir ändern!


Apropos "Vertrauen"… zufällig prangt tatsächlich das Logo jenes Autoherstellers auf dem Schreiben, dem wir gerade erst unser "Vertrauen geschenkt" haben. Ein Anruf bei der Versicherungsagentur ergab, dass sie tatsächlich für das Unternehmen tätig ist, bei der die beste Lebensgefährtin von allen ihre XYZ-Versicherung hat. Das heißt dann wohl, dass die Liebste beim Autoverkauf unterschrieben haben muss, dass der Autohändler ihre Daten an beliebige Dritte weitergeben kann? (Das trau ich ihr nicht zu…)

Interessant finde ich, dass eine Domain, die eigentlich auf eine Webpräsenz der Versicherungsagentur zeigen sollte, bei einem örtlichen Opel-Händler landet. Da frag ich mich unwillkürlich, ob der Besitzer einer Autohauskette vielleicht nebenher noch Versicherungen verkauft und unter der Überschrift "Synergieeffekte" die Kundendaten zwischen den beiden Firmen nach Gutdünken abgleicht?

Nachtrag, 29. Oktober 2008: Die Liebste hat die Unterlagen vom Opel-Händler durchgesehen, dabei sind wir über ein A4-Blatt gestolpert, das wir witzig fanden:

Lieber Kunde!
In den nächsten Wochen bekommen Sie einen Fragebogen.
6 Fragen sind für unser Unternehmen enorm wichtig!
Frage 4: Waren Sie zufrieden mit der Erklärung und Präsentation des Opel-Zubehör-Programms?
Frage 19: Wurde Ihnen ein Mitarbeiter vom Service vorgestellt?
[usw.]
Bitte überlegen Sie zusammen mit Ihrem Verkaufsberater, ob Sie diese Fragen positiv beantworten werden!
Vielen Dank für Ihre Unterstützung!


Das Markup hab ich eins zu eins aus dem Schrieb übernommen. Die Kombination "fett, kursiv und unterstrichen" hab ich echt schon lange nicht mehr gesehen — aber es ist ja auch selten was enorm wichtig! Ob die bei Opel wissen, dass ihre Umfragen zur Qualitätssicherung auf diese Weise "gesteuert" werden?

Nachtrag, 30. Oktober 2008: Es sei reiner Zufall, schreibt uns die Versicherungsagentur, zu der wir vorher nie Kontakt hatten und von der inzwischen wissen, dass sie tatsächlich zu der Dortmunder Kette von Opel-Händlern gehört, dass man uns einige Wochen nach dem Kauf eines Wagens eine Kfz-Versicherung angeboten habe: "Der Fahrzeugkauf im Autohaus Soundso hat mit dieser Aktion nichts zu tun." Jo, nee, is klar. Wir belassen es dabei. Wenn mal was am Wagen ist, wollen wir ihn zur Reparatur nicht in einen Nachbarort bringen müssen.

(Die Namen der beteiligten Firmen lasse ich übrigens absichtlich weg. Ich hab keinen Bock auf 'ne Abmahnung. Meinungsfreiheit ist schließlich eine Frage des Geldbeutels.)