[Kritik] Datenklau bei Mindfactory

[Witala]

lukash, woher willst Du wissen, ob alle Randdaten okay sind? Nur weil es heise geschrieben hat? Wenn Du Dich da mal nicht täuscht...
Sofern möglich, dann wird auch das aufgeklärt.

[lukash]

Ich habe eure Stellungsnahme gelesen dort steht:

-Zugriff via Adminkonto
-Daten sind frei zugänglich
-Briefkastenfirma

Heise schreibt:

-Zugriff via Adminkonto
-Daten sind frei zugänglich
-Briefkastenfirma
-Kunden wurden bis jetzt nicht informiert

so jetzt sag mir welche Randdaten nicht stimmen (ich geh natürlich davon aus das eure Stellungsnahme korrekt ist)

Ich bin Heise auf jedenfall Dankbar, ohne die News hätten wir heute noch im Regen gestanden, und MF hätte keine Stellungsnahme erstellt.

[masterchief]

Google bringt das gewünschte Ergebnis mit einer simplen Suche, die weder Name noch Email oder Telefonnummer enthält.

2 Begriffe braucht man und 30 sekunden Zeit, schon hat man seine 36000 Datensätze.

Einen genauen Weg beschreibe ich nicht, den Kopf soll sich jeder selber machen!


##########################

Zum Thema: Die Informationspolitik ist wirklich unter aller Würde. Ich selber schrieb mal in einem Thread, dass es sinnvoll wäre ein paar Aussagen zu treffen. Da hieß es in etwa: "Wenns was neues gibt, erfahrt ihr es hier!" - Pustekuchen, Heise muss mir sagen, was momentaner Stand ist.

Noch ist eine Rekla offen, wie es danach weiter geht, wird sich zeigen...

[Maddin82]

Der datenklau muß aber schon ein paar tage her sein. Ich bin seit dem 25.1 bei MF registriert und google findet nichts ungewöhnliches zu meinen daten.

[lukash]

Es muss nicht jeder betroffen sein, auf jedenfall fand der 'Eingriff' nach dem 25.1 statt.

[arkelanfall]

Ich bin auch einer der Kunden, die erst durch den heise-Artikel auf die Problematik aufmerksam geworden sind (daher jetzt auch der neue Account hier).

Und ich muss ehrlich sagen: Diese Stellungnahme geht doch komplett am eigentlichen Problem vorbei.
Das, was zumindest ich MF hier (ohne weiteres Hintergrundwissen) vorwerfe ist eben nicht nur die mangelhafte Absicherung der Datensätze. Sondern vor Allem die Tatsache, dass zwar eine Pressemitteilung rausgeschickt wird, aber niemand auf die Idee kommt, die *KUNDEN* per Mail und/oder Brief zu informieren.

Und so wie sich die Stellungnahme anhört, ist das wohl auch in naher Zukunft nicht geplant. Zumindest wird davon nichts erwähnt. Wer also weder bei heise (bzw. ähnlichen Portalen) oder im mindfactory-forum mitliest, wird immernoch nichts von dem Hackangriff wissen.

Und dann dieser Satz:
"Derzeit werten wir die Listen der E-Mail-Adressen aus. Durch die aktuellen Erkenntnisse steht nun fest, dass nur ein kleiner Anteil der Kundendaten der Mindfactory AG betroffen ist. "
Gibt es ernsthaft jemanden, der hier die Unlogik übersieht?

Genausogut kann es sein, dass nur Teile der Liste veröffentlicht wurden, weil die vollständigee Liste derzeit irgendwo zum Verkauf angeboten wird. Oder dass der Hacker bisher schlichtweg noch nicht alle Teile veröffentlicht hat. Oder dass schlichtweg noch nicht alle Teil-Listen von google indiziert / von Usern gefunden wurden. Oder...

Aus "in den uns bekannten Listen steht nur ein Teil der Adressen drin" auf "es wurde nur ein Teil abgegriffen" zu schließen ist nicht einmal ansatzweise logisch.

Gibt es keine entsprechenden Server/Datenbanklogfiles?

Und "Die Ermittlungen laufen noch" ist das lächerlichste Argument überhaupt um seine Kunden nicht über das Ausmaß des Vorfalls zu informieren.
Hier verlangt ja wohl niemand, dass Ermitlungsinterna veröffentlicht werden. Aber dass man als Kunde über einen solchen GAU und dessen genaue Ausmaße informiert wird, ist ja wohl nicht zu viel verlangt.

Das mMn EINZIGE professionelle Vorgehen hier ist eine Benachrichtigung per Post und/oder E-Mail an ALLE Kunden mit dem exakten Datum und dem exakten Ausmaß des Vorfalls.
Lies: *Welche* Daten wurden *wann* abgegriffen?
Aus den mir derzeit bekannten öffentlich kursierenden Listen kann man
- Name
- Postanschrift
- Telefonnummer
- E-Mail Adresse
abrufen.

Nicht der Hack an sich, sondern diese absolut unprofessionelle Verschleierungstaktik ist der Grund, warum zumindest ich meine Daten bei MF löschen lassen und nie wieder bei diesem Laden einkaufen werde.

Oder um es anders auszudrücken: Das Vertrauensverhältnis ist nachhaltig zerstört.

[lukash]

@arkelanfall danke sehr gute Ausführung

Wenn ich ein Hacker wäre und hätte Zugriff auf die Kundendaten würde ich sicherlich nur Teilweise die Daten ziehn? Sicherlihc nicht die Daten sind alle gestohlen, die Frage ist nur wo wir sie überhaupt und wann finden werden. Oder damit im Untergrund gehandelt wird.

[masterchief]

Gerade dubiose Firmen, die Werbung verschicken (Post) oder Anrufe durchführen, werden damit versorgt werden. Diese Firmen zahlen auch Millionen für soviele Datensätze!

[Mr. Marketing]

Hallo zusammen,

ich kann allen Frust verstehen und der Vorfall geht auch uns bis ins Knochenmark. Dabei denken wir nicht an Umsätze oder Bestellungen sondern an die Enttäuschung in euren Augen. Fakt ist, bisher ist jedes System von Menschen entwickelt worden und dadurch auch von Menschen wieder kompromittierbar. Dass kein System sicher ist mussten wir nun wie auch andere große Konzerne und Behörden am eigenen Leibe erfahren. Ein solcher Vorfall ist, auch wenn es durch einen kriminellen Akt geschehen ist, leider unentschuldbar. Es ist seit dem Vorfall aber kein Tag verstrichen, an dem die Ermittlungen nicht fortgeschritten sind. Ich kann den Aufruf nach mehr Transparenz auch verstehen, aber man ruft vor einer Razzia nicht vorher an ob jemand zuhause ist und kündigt sich an. Die Veröffentlichung der Liste hat zu weiteren Erkenntnissen geführt, auch wenn das ein hoher Preis war. Wir sind jedoch zuversichtlich, dass die Liste wieder entfernt wird und weitere Veröffentlichungen verhindert werden können, auch wenn sich diese im Ausland befinden. Es wird jede Möglichkeit wahrgenommen, zivilrechtliche und strafrechtliche Schritte einzuleiten.

Wir sind wie bereits erwähnt auch in Kontakt mit dem Bundesdatenschutzbeauftragten Niedersachsens, weitere Beschwerden in anderen Bundesländern sind natürlich dem Vorfall zufolge völlig berechtigt und stehen jedem frei, führen aber nur zu Mehraufwand und tragen nicht zur Klärung des Falles auf. Wir kämpfen bereits gemeinsam mit den Behörden gegen diese kriminelle Energie an und werden dies auch weiterführen, auch wenn dies möglicherweise kein Ende nehmen wird.

Die Aussage, wir hätten unsere Kunden nicht informiert, ist belegbar unwahr. Bereits in der ersten heise Meldung wurde unsere Stellungnahme zitiert und vereinzelte Kunden darüber in Kenntnis gesetzt. Bis zur Veröffentlichung der Liste war auch unklar, welche und wieviele Daten gestohlen wurden, da der Vorgang gestoppt werden konnte. Allein die Art war definiert. Die Stellungnahme war heute selbstverständlich nötig aufgrund der Meldung von heise, wird aber an der aktuellen Situation keine positiven Nacheffekte haben. Im Gegenteil, allein die Kriminellen hinter diesem Diebstahl werden nun erhöhte Aufmerksamkeit walten lassen, da Sie über unsere kontinuierlichen Ermittlungen in Kenntnis gesetzt wurden. Dies ist dem Redakteur scheinbar nicht bewusst gewesen. Es handelt sich hierbei keinesfalls um eine Verschleierungstaktik.

Ich bitte hiermit die Liste nicht zu verlinken, in diesem Forum werden alle Verweise gelöscht. Wir möchten nicht zur Verbreitung der Liste beitragen. Ich betone dies explizit, da es auch in einem anderen Forum zu einem vermeidbaren Zwischenfall mit einem Moderator gekommen ist.

Ich kann aufgrund der vergangenen Ereignisse jede Form persönlicher Beleidigung gegen die Mindfactory verstehen, wenn auch nicht tolerieren, möchte jedoch sensibilisieren, dass gemeinsam mit allen Mitarbeitern die Mindfactory als Unternehmen nur mit Euch als Kunden wachsen, weitere Arbeitsplätze schaffen und der Wirtschaft ihren Beitrag leisten kann. Daher wird Euer Vertrauen und der Datenschutz immer an erster Stelle stehen. Wir verurteilen jede Form krimineller Energie und jeder virale Angriff sollte den Verantwortlichen hinter diesem Diebstahl gelten.

Hochachtungsvoll

Daniel Canoa
Datenschutzbeauftragter der Mindfactory AG

[arkelanfall]

Wir sind jedoch zuversichtlich, dass die Liste wieder entfernt wird und weitere Veröffentlichungen verhindert werden können,

Da wären Sie die Ersten denen das gelingt.

Die Aussage, wir hätten unsere Kunden nicht informiert, ist belegbar unwahr. Bereits in der ersten heise Meldung wurde unsere Stellungnahme zitiert

Ein Posting in einem Userforum ist ja wohl kaum "Kunden informiert". Ich sehe weder in Ihren AGB noch in Ihren Datenschutzrichtlinien einen Verweis, dass man sich doch bitte regelmäßig in diesem Forum informieren solle, ob die eigenen Nutzerdaten eventuell gestohlen wurden.

und vereinzelte Kunden darüber in Kenntnis gesetzt. Bis zur Veröffentlichung der Liste war auch unklar, welche und wieviele Daten gestohlen wurden,

Und bevor man aus Versehen einen Kunden zu viel über den Einbruch informiert, informiert man lieber gar keine?

Die Stellungnahme war heute selbstverständlich nötig aufgrund der Meldung von heise,

Zumindest bei mir ist noch keine Informations-Mail diesbezüglich angekommen. Und auf der Shop-Webseite kann ich auch nichts finden.
Gut versteckte Stellungnahmen im Kundenforum sind schön, um später darauf verweisen zu können. Zur verlässlichen Information der Kunden taugen sie aber nicht.

Spoiler

Es erinnert mich allerdings an das erste Kapitel in "Per Anhalter durch die Galaxis". Den Abschnitt über den Aushang mit den Bauplänen für die Umgehungsstraße. (Den im Keller mit dem kaputten Licht in dem verschlossenen Abstellschrank in dem unbenutzten Klo an dessen Tür "Vorsicht, bissiger Leopard!" stand...)

Es wäre schön, wenn Sie folgende simple Frage beantworten würden:
Warum wurden bis jetzt immernoch nicht alle Kunden über den Einbruch und dessen Ausmaß informiert?

wird aber an der aktuellen Situation keine positiven Nacheffekte haben.

Ich empfinde es als EXTREM positiv, jetzt endlich (durch Zufall beim Stöbern auf heise) erfahren zu haben, wer an den Spam-Mails an meine Mailadresse schuld ist.

Klar. Für Sie werden die Nacheffekte sicherlich nicht positiv sein.

Im Gegenteil, allein die Kriminellen hinter diesem Diebstahl werden nun erhöhte Aufmerksamkeit walten lassen ... Es handelt sich hierbei keinesfalls um eine Verschleierungstaktik.

Man kann davon ausgehen, dass die Kriminellen auch schon den ersten Heise-Artikel bzw. Ihre Stellungnahme hier im Forum mitbekommen haben.
Ein Großteil der tausenden betroffenen Kunden hat dies allerdings nicht.
Ich sehe immernoch nicht, inwiefern eine flächendeckende Information aller Kunden über den Einbruch und dessen Ausmaß Ermittlungen behindern würde/hätte.

möchte jedoch sensibilisieren, dass gemeinsam mit allen Mitarbeitern die Mindfactory als Unternehmen nur mit Euch als Kunden wachsen,

Dann sollten Sie eventl. Ihre Kunden auch als Kunden behandeln und endlich ALLE Kunden VOLLSTÄNDIG informieren.
Sie können doch nicht ernsthaft erwarten, dass Ihre Kunden für diese "Informationspolitik" Ihrerseits auch nur ansatzweise Verständnis aufbringen?

[Domino1971]

Und "Die Ermittlungen laufen noch" ist das lächerlichste Argument überhaupt um seine Kunden nicht über das Ausmaß des Vorfalls zu informieren

Sorry,aber was ist daran lächerlich.
Wenn ein Hacker es schafft,sich zugriff auf einen gesicherten Server zu verschaffen,dann wird es wohl für ihn ein leichtes sein ne Subroutine zu schreiben die ihn warnt,wenn die Aufmerksamkeit seitens Behörden ermittlungen gegen ihn zu stark werden.Und letzendlich gehts ja darum,diesen Hacker zu ermitteln.
Das die Sache passiert ist ist bedauerlich,aber in Zeiten verstärkter Internetkriminalität war es auch nur eine Frage der Zeit das sowas passiert.
Ich persönlich kann die Vorgehensweise seitens MF nachvollziehen,vorallem wenn die relevanten Daten wie Passwörter und Bankdaten nicht gestohlen wurden.
Wäre dies anders gewesen,würde man auch die Kunden auch informieren.
Glaub ich zumindest.
Das die Sache hier so aufgebauscht wird dient eigendlich nur dem Hacker und seiner kriminellen energie und hilft nicht wirklich.
Wer wirklich interesse hat die Sache zu unterbinden,der schickt sämtliche Daten die er im Netz findet per Link zu MF um die Ermittlungen zu unterstützen.
Und um falschen Vermutungen vor zu beugen,nein ich bin keiner von MF sondern nur ein normaler User dieses Forums,der allerdings nicht sofort in Panik verfällt und noch etwas Logik walten läßt

[arkelanfall]

Wenn ein Hacker es schafft,sich zugriff auf einen gesicherten Server zu verschaffen,dann wird es wohl für ihn ein leichtes sein ne Subroutine zu schreiben die ihn warnt,wenn die Aufmerksamkeit seitens Behörden ermittlungen zu stark werden.

Ohne dir zu nahe treten zu wollen, aber ich bezweifle dass du den Sinn dieses Satzes selbst verstehst.

Und letzendlich gehts ja darum,diesen Hacker zu ermitteln.

Und wieso steigt diese Chance, wenn man Betroffene nicht informiert? Nochmal: MF hat eine Stellungnahme diesbezüglich im Forum rausgegeben. Heise hat was dazu geschrieben. Eine nicht gerade kleine Anzahl an Heise-Lesern wusste das also. Die Information war draußen.

Eine simple Rundmail an alle Kunden mit dem Inhalt der damals hier im Forum geposteten Stellungnahme, und alles wäre in Ordnung gewesen.

Ich persönlich kann die Vorgehensweise seitens MF nachvollziehen,vorallem wenn die relevanten Daten wie Passwörter und Bankdaten nicht gestohlen wurden.

Wie kommt Mindfactory auf die Idee, die Relevanz dieser Daten beurteilen zu können?
Das fängt beim genervten Nerd an und hört bei der misshandelten Frau auf, die von ihrem Mann abgehauen ist und deren Postanschrift nun offen ergoogle-bar im Internet mit ihrem Namen und ihrer Mail-Adresse verknüpft ist.

Wäre dies anders gewesen,würde man auch die Kunden auch informieren.
Glaub ich zumindest.

Warum? Deine "Argumente" für die Verheimlichung würden da doch umso mehr gelten...

Wer wirklich interesse hat die Sache zu unterbinden,der schickt sämtliche Daten die er im Netz findet

Das tragische an der ganzen Sache ist doch, dass ein nicht zu vernachlässigender Teil der MF-Kunden vermutlich immernoch nichts von dem Vorfall WEISS!

[Endlich]

Melde mich glaube jetzt erstmalig zu dieser Thematik. Es wäre durchaus interessant zu erfahren, wie viele Online-Versandhändler im Deutschsprachigen Raum bereits Angriffe verzeichnen konnten und bei wie vielen Prozent dies erfolgreich war. Mindfactory blickt auf glaube ich 15 Jahre und weit über 1 Mio. Kunden zurück. Das es sich hier natürlich lohnt einzubrechen, versteht sich von selbst. Andererseits ist es für mich als Unwissenden natürlich nur schwer zu verstehen, wieso der Angriff oder die Versuche des Eindringens nicht früher bemerkt worden oder überhaupt rechtzeitig vereitelt werden konnten. Andererseits denke ich, das aufgrund des sehr umfangreichen Kundestamms, sich Mindfactory keinesfalls Nachlässigkeiten im Bereich des Datenschutzes leisten darf bzw. kann. Sollte dem nicht so gewesen sein, so wird sich Mindfactory bestimmt dahingehend noch vor höherer Instanz rechtfertigen dürfen. Aber soweit vertraue ich (noch) dieser AG. Auch wenn ich es nicht für gutheiße das nicht verstärkt auf Aufklärung und Kundeninformation wert gelegt wurde. Aber was geschehen ist, ist geschehen und kann im nachhinein nicht verändert werden. Jedem der geschädigt wurde oder noch immer ist, steht es jedoch juristisch sicherlich zu, Schadensersatzansprüche (oder sonstiges) gegenüber der Mindfactory AG geltend zu machen(, oder?)

[jane_doe]

Die Informationspolitik von Mindfactory zu diesem Thema rangiert zwischen "armselig" und "nicht vorhanden".

Ganz offensichtlich erfolgen die öffentlichen Stellungnahmen primär auf externen Druck, z.B. als Reaktion auf Presseberichte, und nicht aus Sorge um die Daten der Kunden. Ich habe wenig Zweifel daran, dass Mindfactory ohne diese Berichte überhaupt niemanden von dem Vorfall informiert hätte.

Bereits im Februar hatte ich Mindfactory auch per EMail aufgefordert, mein Kundenkonto sowie alle meine persönlichen Daten zu löschen. Dies ist bisher nicht geschehen, stattdessen wurde ich nur mit der Standard-Antwort abgespeist, die damals auch hier im Forum gepostet wurde.

Deshalb werde ich wohl diese Aufforderung demnächst nochmal schriftlich per Einschreiben wiederholen müssen.

[Domino1971]

Ohne dir zu nahe treten zu wollen, aber ich bezweifle dass du den Sinn dieses Satzes selbst verstehst.

Ich bin alt genug und hab persönliche Erfahrungen um dies zu verstehen.Sonst hätte ich sowas nicht geschrieben.

Warum? Deine "Argumente" für die Verheimlichung würden da doch umso mehr gelten

Ne eher das Gegenteil,weil sowas dann Geschäftsschädigen wäre sowas zu verheimlichen.MF ist ne Firma und da gehts um Profit.

Und wieso steigt diese Chance, wenn man Betroffene nicht informiert? Nochmal: MF hat eine Stellungnahme diesbezüglich im Forum rausgegeben. Heise hat was dazu geschrieben. Eine nicht gerade kleine Anzahl an Heise-Lesern wusste das also. Die Information war draußen.

Eine simple Rundmail an alle Kunden mit dem Inhalt der damals hier im Forum geposteten Stellungnahme, und alles wäre in Ordnung gewesen.

Du vergisst den zeitpunkt der Veröffentlichung.
Auf einen Freitag,dann hier im Forum auf den späten Nachmittag der erste POst,das da nicht sofort ne Reaktion erfolgt ist doch nur logisch.
Ich würde dies bezüglich den Montag abwarten

[Witala]

Das einzige was ich lächerlich finde ist, dass man hier nach Stellungnahmen bettelt und dann jede einzelne Passage auseinandernimmt!

Ja arkelanfall, dann wird Mindfactory halt Vorreiter sein. Und vielleicht kann man Dir gewisse Sachen erst im Nachhinein näher bringen, vielleicht biste aber auch resistent und möchtest nur unterhalten werden...man weiß es nicht.

jane_doe, das ist Dein Eindruck und vielleicht macht es teilweise den Anschein, aber der muss nicht unbedingt korrekt sein.

Ich empfehle es den anderen sacken zu lassen und sich dem bevorstehendem schönen Wochenende zu widmen.
P.S. Ich denke das wird sicherlich nicht die letzte Stellungnahme gewesen sein, daher braucht Ihr keine Angst haben, dass Ihr nicht weiter auf dem Laufenden gehalten werdet.

[svigo]

Wiltala , du willst aber trotzdem nicht bestreiten das die Öffentlichkeitsarbeit sehr verbesserungswürdig ist und das wird ja nicht erst seit heute bemängelt

[arkelanfall]

Ich bin alt genug und hab persönliche Erfahrungen um dies zu verstehen.

Lassen wir das mal so stehen, ich wil da bei dir nicht noch mehr drauf rumreiten. Aber Subroutine hört sich sehr hübsch an...

Ne eher das Gegenteil,weil sowas dann Geschäftsschädigen wäre sowas zu verheimlichen.

Das jetzt ist genauso geschäftsschädigend. Die Frage ist nur, wie lange MF braucht um das zu merken...

Du vergisst den zeitpunkt der Veröffentlichung.

Der Zeitpunkt war der 7. Februar. Siehe hier.
Die hatten nach ihrer eigenen ersten Stellungnahme im mindfactory-Forum jetzt mehr als 2 Monate(!) Zeit um ihre Kunden ordentlich auf den Sachverhalt aufmerksam zu machen!
2 Monate lang wussen Heise-User und die Stammnutzer dieses Forums, dass ihre Daten missbraucht werden.

Stattdessen wurden die restlichen Kunden so lange im Dunkeln gelassen, bis die Adresslisten zwangsläufig irgendwann über Google auffindbar geworden sind.

Das einzige was ich lächerlich finde ist, dass man hier nach Stellungnahmen bettelt und dann jede einzelne Passage auseinandernimmt!

Du findest nicht, dass man ein Recht hat sich aufzurgen, wenn man ohne jegliche Vorwarnung seine persönlichen Daten dank freundlichem Hinweis auf heise plötzlich per Google findet?
Und dann nach kurzer Recherche feststellt, dass der Verursacher seit über 8 Wochen bereits weiß, dass die Daten in der Gegend umherschwirren?

Es soll tatsächlich Leute geben, die aus gutem Grund ihre persönlichen Daten nicht im Internet haben möchten.

Und nein, das Wochenende kann ich unter diesen Randbedingungen nicht mehr genießen.

P.S. Ich denke das wird sicherlich nicht die letzte Stellungnahme gewesen sein, daher braucht Ihr keine Angst haben, dass Ihr nicht weiter auf dem Laufenden gehalten werdet.

Ja, ich bin mir sicher, dass nach dem nächsten Heise-Artikel wieder in irgend einem Unterforum auf dem Community-Board eine Mitteilung steht, die dann natürlich auch zeitnah von allen MF-Kunden gelesen wird...

[Witala]

svigo, sicherlich lief in der Vergangenheit nicht alles optimal. Ich bin ja auch einer, der gerne klugscheißert und verbessert (kriege ja auch regelmäßig auf den Deckel deswegen ) Aber mal im Ernst, manchmal muss man halt auch andere Wege auf sich nehmen, unterwegs dementsprechend mehr einstecken, um am Ende eine optimale Lösung zu präsentieren.
Edit: Ich sitze mit Dir genauso in einem Boot und höre lieber 12 Wochen nichts und habe dann einen aufgeklärten Fall, als wenn mir Bescheid gegeben wird, ich mich drüber tot ärgere und mich trotzdem im Netz wieder finde.

[jane_doe]

Ja, ich bin mir sicher, dass nach dem nächsten Heise-Artikel wieder in irgend einem Unterforum auf dem Community-Board eine Mitteilung steht, die dann natürlich auch zeitnah von allen MF-Kunden gelesen wird...

Das unterschreib ich mal so.

Den richtigen Zeitpunkt, um die Kunden über das Debakel zu informieren, hat Mindfactory schon lange verpasst - der wäre nämlich vor den ersten Presseberichten gewesen. Wie schon gesagt reagiert Mindfactory seitdem nur noch, und das auf eine völlig inakzeptable Art und Weise.

Bisher habe ich jegliche Neuigkeiten zuerst über Heise erfahren, und erst danach auf eigenes Suchen hin die Mitteilungen im Mindfactory-Forum gefunden. Eine professionelle und kundenfreundliche Informationspolitik sieht ganz offensichtlich anders aus ...

[Kisol]

Mir erschließt sich nicht so recht, inwieweit eine Information an mich als Kunden die Ermittlungsarbeiten hätte behindern sollen.
Es sind meine Daten, entwendet vor über 2 Monaten, nun für jedermann abrufbar im Internet.

Was wäre so schwer gewesen ne Rundmail zu versenden?
"Bei uns wurde eine Account kompromittiert blabla, Daten wurden ausgelesen blabla, es tut uns leid blabla, wir tun unser Möglichstes um den Schaden zu begrenzen blabla, tun nachbessern blabla, nochmals sorry blabla"

Wo genau greift etwas in der Art in Ermittlungsarbeit ein?
Datenklau ist ärgerlich, keiner ist davor gefeit, aber es auf gut deutsch hintenrum zu erfahren, weil man es beim Verursacher gern unter den Teppich kehren würde ist........

Meiner Meinung nach geht es hier doch nur darum den Großteil der von alldem nicht einmal ansatzweise etwas ahnt, weiterhin im dunkeln zu lassen.
Es gibt 2 schöne deutsche Sprichwörter für die Informationspolitk seitens MF:
"Schlafende Hunde soll man nicht wecken."
"Was ich nicht weiß, macht mich nicht heiß."

So long.

[lukash]

@Witala Du glaubst immer noch das die Daten dauerhaft aus dem WWW zu entfernen sind? Auch mit einem Anwaltsteam ist sowas unschaffbar.

Hört auf den Fall schön zu reden, informiert den Kunden via Post. Viele meiner Freunde sind ebenfalls MF Kunde und haben davon noch nichts gehört!

IHR habt jetzt die Sorge den Fall so gut wie möglich abzuschliessen, IHR müsst die Kunden Informieren. Alles andere ist absolut lächerlich und nicht nachzuvollziehen.

Aber immerhin hab ich heute eine Email von MF erhalten: 'Der Neue Mindletter'.

Wer da noch Lust hat zu bestellen

Wenn ihr nicht auf eure eigenene Kunden hört, müsst ihr es über die Verkaufsbillanz erfahren, da hört ihr mehr drauf.

Ich bin nicht wütend; eher enttäuscht: Ich hab viel bei MF bestellt und das Unternehmen oft gelobt; sogar beruflich dort bestellt: Und dann sowas.

Das Kind ist bereits in den Brunnen gefallen, ihr könnt die Leute informieren: Die Hacker sind bereits vollständig infomiert und das Geld für ein Persönliches Anschreiben sollte wohl investiert werden.

Mit der Leistung habt ihr gute Chance auf einen Award, und zwar den Big Brother Award: Ihr könntet einen guten Anti-Preis für eure Informationspolitik erhalten!

[jane_doe]

@Mindfactory:

1. Gibt es Ihrerseits irgendwelche Bemühungen, die Seiten mit den Adresslisten aus dem Google-Index entfernen zu lassen?

2. So weit ich sehen kann, stehen unter einer bestimmten Domain noch mehrere Exemplare der Listen bereit. Diese Webseite ist in den Niederlanden gehostet - es sollte also möglich sein, zumindest den Provider zu einer dauerhaften Löschung zu veranlassen, und auch den erneuten Upload der Listen zu unterbinden.

P.S. Muss mich korrigieren - zum momentanen Stand liefert Google mehr als 50 Suchresultate auf der angesprochenen Domain.

Unternehmen Sie irgend etwas, um die weitere Veröffentlichung dieser Seiten zu verhinden?

[terrier]

Wenn ich mir das Bundesdatenschutzgesetz so durchlese, gehe ich mal ganz stark davon aus, dass Mindfactory alle Betroffenen noch informieren wird und dass das derzeitige Verhalten (oder auch "Nicht-Verhalten") auch so mit dem niedersächsischen Datenschutzbeauftragten abgesprochen wurde.

[HansDampf]

Ich muss als auch Betroffener (der seinen Namen, Adresse, Telefonnummer & Mailadresse mit einer simplen Google Suche tatsächlich in veröffentlichten Listen finden konnte) mal meinen Senf abgeben, nachdem ich den Heise Artikel gelesen habe.

Mir ist erstmal die Hutschnur hochgegangen. Gar nicht so sehr, weil Daten abhanden gekommen sind - das kann im Zweifel mit genug krimineller Energie letztendlich immer passieren - sondern, weil MF es nicht für nötig hält, seine Kunden zu informieren.
All die Beschwichtigerei, von wegen Anwalt hier, Verfügung dort, Anzeige, Ermittlungen, Strafverfolgung und sonstigen Nebelkerzen wirken in keiner Weise beruhigend auf mich.

Woher soll ich denn wissen was sonst noch außer Stammdaten abhanden gekommen ist? Kennen irgendwelche Hacker jetzt vielleicht auch meine Bankverbindung? Meine Kreditkartendaten? Was ist mit Zugangsdaten? Können jetzt irgendwelche Leute auf meine Rechnung bestellen?
Was ist mit dem armen Hansel, der vielleicht für sein Paypal Konto die gleiche Maildresse verwendet wie bei MF registriert ist, und dabei auch noch immer das gleiche Passwort nutzt? Bei über 20.000 geklauten Datensätzen würde es mich nicht wundern, wenn da einige Dutzend dabei sind, auf die das zutrifft.

Es wäre wirklich ein Simples gewesen, einfach eine Massenmail seitens Mindfactory zu verschicken, in der mitgeteilt wird, was (wo und wie kann ja aus ermittlungstaktischen Gründen ggf. zurückgehalten werden) genau an Daten denn abhanden gekommen ist.
Ich habe extra ins BDSG geschaut, ob MF nicht sogar gesetzlich verpflichtet gewesen wäre, Kunden über den Datenverlust zu informieren, konnte so aber keinen direkten Zwang finden (falls tatsächlich nur Adresse, Telefon & Email geklaut wurden).

Trotzdem zeugt das natürlich in keiner Weise von Kompetenz und Vertrauenswürdigkeit, wenn man hofft, den Skandal aussitzen zu können und dass möglichst wenig Kunden davon erfahren. Vogel-Strauss-Politik ist hier komplett verfehlt.