Sicherheitslücke

04. September 2014 23:26; Akt: 05.09.2014 10:00 Print

Online-Shops überprüfen Mail-Adressen nicht

G. B.* erhielt Rechnungen, weil jemand seine Mailadresse für Online-Einkäufe nutzte. Verifiziert worden war diese nicht. Die Stiftung für Konsumentenschutz findet das fahrlässig.

storybild

Nahrungsergänzungsmittel, Vitaldrinks, Pflaster: G.B. erhielt von Weltbild.ch eine Bestätigung für einen Einkauf über 177.10 Franken. Nur: Bestellt hatte er dort nie etwas.

Zum Thema
Fehler gesehen?

Eigentlich war es bloss ein Versehen – das allerdings eine veritable Sicherheitslücke offenbart. Vor Kurzem bekam G. B.* per Mail eine Bestätigung von Weltbild.ch. Angeblich hatte er im Online-Shop Nahrungsergänzungsmittel, Vitaldrinks und Pflaster eingekauft. Gesamtbetrag: 177.10 Franken. B. fiel aus allen Wolken. «Die Bestellung war definitiv nicht von mir, ich konnte mir das Ganze nicht erklären.» Erst habe er vermutet, dass Unbekannte seinen Mail-Account gehackt hätten.

Doch nach Recherchen von 20 Minuten steht fest: Eine Ladenbesitzerin aus Thun mit demselben Nachnamen wie B. hatte die Sachen bestellt und sich bei der E-Mail-Adresse vertippt. Statt ihrer gab sie versehentlich B.s Mail-Adresse an. Dieser erhielt nun nicht nur die Rechnung, sondern auch den Newsletter zugeschickt, obwohl er mit der Bestellung gar nichts zu tun hatte. «Ich habe mich sehr geärgert. Es kann doch nicht sein, dass Kontaktdaten wie Mail-Adressen nicht überprüft werden», sagt der Betroffene.

«Beunruhigend, wie hier mit persönlichen Daten umgegangen wird»

Tatsächlich: Auf Anfrage sagt eine Weltbild-Mitarbeiterin, wer als Gast ohne Login einkaufe, erhalte keinen Link via Mail geschickt, um seine Angaben zu bestätigen. Falsche E-Mail-Adressen seien trotzdem «praktisch nie» ein Thema. Dem Betroffenen seien auch keinerlei finanzielle Verpflichtungen entstanden, seine Daten habe man inzwischen gelöscht. «Nervig und beunruhigend ist es dennoch, wie hier mit meinen persönlichen Angaben umgegangen wird», findet B.

Nebst dem Einkauf bei Weltbild.ch tätigte die Ladenbesitzerin noch eine weitere Bestellung bei einem anderen, kleineren Online-Anbieter. Auch diese Rechnung ging an B. Der Chef des Internetbetriebs sagte auf Anfrage, man kontrolliere lediglich anhand der Lieferadresse, ob die Person real existiere und zahlungsfähig sei. Ein sogenanntes Double Opt-in, bei dem der Abonnent oder Käufer eine E-Mail-Nachricht mit der Bitte um Bestätigung seiner Daten erhält, werde nicht durchgeführt. Dazu sei man in der Schweiz gesetzlich auch nicht verpflichtet.

«Konsumentenunfreundlich und fahrlässig»

Sara Stalder, Geschäftsleiterin der Schweizer Stiftung für Konsumentenschutz, kann den Ärger des Betroffenen gut nachvollziehen. «Es erstaunt mich, dass sich insbesondere ein so grosser Anbieter wie Weltbild derart konsumentenunfreundlich und in Sachen Datenschutz fahrlässig verhält», sagt Stalder. «Es liegt an den Online-Shops, zu gewährleisten, dass die Kontaktdaten der Kunden auch stimmen und dass damit kein Missbrauch betrieben werden kann.»

* Namen der Redaktion bekannt.

(ram)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Joe am 04.09.2014 23:48 via via Mobile Report Diesen Beitrag melden

    Slow news day?

    Gewaltige Sicherheitslücke... *Schnarch* Die Ware wird ja wohl irgendwo hin geliefert worden sein, also kann man die Sache rasch aufklären... Kein Grund hier auf Panik zu machen, und den Newsletter kann man abbestellen, im Gegensatz zu echtem Spam. Solche Gast-Bestellungen gibts bei vereinzelten shops wo kein Login erstellt werden muss. Halte ich persönlich für Kundenfreundlich, so muss man sich nicht noch ein Passwort merken.

    einklappen einklappen
  • Dani Schütz am 05.09.2014 06:36 via via Mobile Report Diesen Beitrag melden

    B.S.

    Schon vor 50 Jahren konnte man Bestellungen an falsche Adressen schicken. Meine Güte. Wo ist das Problem? Bestellungen als "Gast" sind super Kundenfreundlich! Unkompliziert und unter Angabe eines Minimums an Daten. Risiko beim Anbieter. Ich schätze diese Option. Jetzt hat der arme Kerl versehentlich ein falsches Email erhalten. Mein Gott. Drama. Wo ist der Schaden?

  • Mike Schwede am 05.09.2014 06:38 via via Mobile Report Diesen Beitrag melden

    Double Optin wäre kundenunfreundlich

    Im Gegenteil: als User wäre es sehr unpraktisch, wenn man jedes mal seine Mailadresse bestätigen müsste. Man muss halt schlicht seine Mail richtig eintippen. Sicherheitslücke? Mit Nichten. Was soll den dieser Titel?!

    einklappen einklappen

Die neusten Leser-Kommentare

  • Miriam am 05.09.2014 13:20 Report Diesen Beitrag melden

    Fast alle Shops senden an Google

    Und zwar das ganze Kundenverhalten, Warenkorb, Login Google liest alles mit weil die COs Google Analytics vertrauen.

  • nobody am 05.09.2014 12:52 Report Diesen Beitrag melden

    nicht tragisch, aber

    Meiner Meinung nach ist es sowohl für den Shopbetreiber als auch für den Konsumenten von Vorteil wenn die Mailadresse bestätigt wird. Der Bestellende erhält die Bestätigung, Bestellnummer Kontaktdaten etc, der Shop hat die Adresse an welche er sich wenden kann wenn z.B. ein Produkt nicht (sofort) lieferbar ist. Wenn die Adresse nichts stimmt wird das alles mühsam. ps: um die Adresse zu bestätigen brauche ich höchstens 10 sekunden, selbst wenn man das Mailkonto separat öffnen muss ist das in 1min erledigt.

  • Tea am 05.09.2014 12:11 via via Mobile Report Diesen Beitrag melden

    Wie soll das gehen?

    Wie kann ich denn prüfen, wem die Email-Adressse gehört? Ist zu Recht unmöglich, deshalb muss man sich auf die Angaben der Kunden verlassen. Wenn sie etwas an die falsche Adresse liefern lassen, ist das ihr Problem und nicht das des Verkäufers.

  • leser am 05.09.2014 10:56 via via Mobile Report Diesen Beitrag melden

    konsumentenunfreundlich?

    also ich sehe das eher als konsumentenfreundlich an, wenn ich ohne mailbestätigung und account bestellen kann. ob es unsicherer ist, ist eine andere frage, aber kundenfreundlicher ist es definitiv, keinen account mit passwort usw. erstellen zu müssen. nutze diese gastmöglichkeit drum, wo es nur geht

  • rfg am 05.09.2014 10:16 via via Mobile Report Diesen Beitrag melden

    probleme die keine sind

    Das ist doch alles kein Problem. Eine Sicherheitslücke schon gar nicht. Der Shop soll kundenfreundlich sein, dann können halt derartige Probleme auftauchen. Mir wurde mal mein ebanking gesperrt weil ein Kunde der Bank einen Zahlendreher mit seiner Kundennummer verursachte und so drei mal sein PW auf meinem Account verwendete, was nicht klappte. Ist halt ärgerlich, aber was solls.