Wer erinnert sich? – An das Zensursula-T-Shirt, oder auch an das Piratenparteishirt? Kostenlos sollte es sein, ein Freebie. Nun gut, 6,90 Euro waren dann doch nicht wirklich kostenlos, aber es schien eine schlaue PR-Aktion von

    3Dsupply.de
    Kammerichstr. 39
    33647 Bielefeld

    Tel. 05 21 / 30 41 09 69
    Tel. 05 21 / 44 81 86 50
    Mail marius@3dsupply.de

zu sein. Auch ich bestellte mir ein Zensursula-Shirt, was ich einmalig überzog und welches seitdem in meinem Kleiderschrank herumgammelt. Egal wie, heute erhielt ich eine E-Mail, nicht von 3Dsupply, aber an genau die E-Mail-Adresse, welche ich damals am 28.04.2009 dort im Bestellvorgang angegeben hatte.

——– Original-Nachricht ——–
Betreff: PACKSTATION Systemupdate ([...]: message 2 of 7)
Datum: 18 Jan 2010 03:36:15 +0100
Von: DHL AG <info@packstation.de>
An: [...].7.***@spamgourmet.com

Sehr geehrte(r) [...]. Da wir in den letzten Wochen unser Serversystem auf den
neusten Stand gebracht haben, bitten wir Sie, aktiv bei unserem umfassenden
Systemcheck mitzuwirken. Dieser dient dazu, eventuelle Fehler zu beseitigen. Wir
bitten Sie daher darum, sich auf der DHL-Seite einzuloggen um Ihre
PACKSTATION-Daten zu überprüfen.
http://PACKSTATI0N.6x.to/index.php?id=42bca2da4cdf073 Schlägt der Loginversuch
fehl, bitten wir Sie, sich unter folgender Nummer zu melden: 0800 343 435 36 (0
ct/Min*) Viel Spaß weiterhin mit Ihrer PACKSTATION wünscht Ihnen Ihr PACKSTATION
Team *) Aus dem deutschen Festnetz
———————————————————– DHL Vertriebs GmbH
Co. OHG Rathausplatz 1 10234 Berlin

Oho, das heisst folglich, entweder wurden die gehackt oder sie haben die Kundendaten verkauft. Also warf ich Google an, denn vielleicht bin ich nicht das einzige Spamopfer. Und siehe da, tatsächlich, da war etwas gewesen.

[...] am 30.12.2009 zwischen 0 und 4 Uhr wurde unser Shopsystem vom [26. Chaos Communication Congress aus Berlin] 26C3 aus angegriffen. Die Hacker konnten dabei eine SQL Injection Lücke ausnutzen um Teile unserer Datenbank abzufragen.

Wir konnten den Angriff genau nachvollziehen und es sind maximal folgende Daten von dir abgefragt worden:
- Nickname
- diese Emailadresse
Unsere persönliche Annahme ist, dass die Daten nicht missbraucht werden werden. Dennoch macht es Sinn dich zu informieren. [...]

Tja, Marius Laabs lag offensichtlich falsch, sowohl als auch. Erstens erscheint in der Spammail Vor- und Nachname in der Anrede und zweitens ist Spam definitv Datenmissbrauch, Punkt. Eventuell waren 26C3 auch nicht die einzigen, welche die Daten anzapften oder der Chaostruppe ist doch daran gelegen, irgendwelche Internetbenutzer, in welcher Form auch immer, zu schädigen. Dumm gelaufen.
Was ebenfalls echt total panne ist, nachweislich niemals erhielt ich ‘ne Info-E-Mail zu dem Datenklau. Außerdem findet sich auf der gesamten Webseite von 3Dsupply.de nicht ein einziger Hinweis zu der Sicherheitspanne, nicht einmal im Forum oder in deren Blog. Das ist wirklich daneben. Seriös ist anders!

Dies verstärkt mich wieder einmal in meinem Bestreben, bei Internetbestellungen möglichst falsche Daten anzugeben und eine Wegwerf-Email-Adresse zu nutzen. Denn solche Erfahrung mit Datenmissbrauch, egal wie seriös der Laden zu sein scheint, mache ich leider nicht zum ersten Mal.