Die Lesegewohnheiten der Anderen – Datenleck bei niiu (Update)

niiu ist ein Service, um eine gedruckte individualisierte Zeitung kostenpflichtig erstellen zu lassen. Aus verschiedenen Medienpartnern suchen die Kunden sich die passenden Inhalte heraus und morgens landet dann wohl die individuell gedruckte Zeitung mit den Inhalten von gestern im Briefkasten. Caspar Clemens Mierau hat den Service getestet und ist dabei über ein kleines Datenleck gestolpert. Das ePaper-Modul ist nicht abgesichert und alle ePapers stehen als PDF über einen Link mit einer individuellen Zahl online und die Zahl im Link kann man einfach austauschen.

Über eine einfache Link-Manipulation erhält man Zugriff auf

* Name und Adresse der Abonnenten und
* die jeweils kompletten einzelnen abonnierten Ausgaben,
* eine Liste der abonnierten Zeitungsinhalte der Abonnenten,
* eine Liste der abonnierten Blogs der Abonnenten.

Da hätten wir z.B. Steve S. aus Berlin. Er interessiert sich offensichtlich für Computer und Boulevard. In seiner persönlichen Zeitung werden kurze Artikel aus Blogs über aktueller Hardware mit den Ausgaben von Bild, BZ und Abendblatt kombiniert. Lustigerweise ergab ein kurzer Blick in eine Suchmaschine, dass Steve S. zufällig der CTO und CIO der Firma Interti GmbH ist, die hinter niiu steht.

Wieviele Kunden niiu hat, haben wir jetzt nicht so genau herausfinden wollen. Mit etwas Zeiteinsatz und ausreichend Festplattenspeicher wäre es aber problemlos möglich gewesen, mit einem Script alle knapp 35000 PDFs herunterzuladen und die Adressen und Lese-Gewohnheiten automatisiert in eine Datenbank zu packen. Dabei hätte man dann auch Analysen machen können, ob eine Nummer einer Ausgabe zugeordnet ist oder einem Kunden. Mit den Informationen könnte man dann auch das Wachstum des Unternehmens genauer analysisieren und nicht nur die Lesegewohnheiten der Kunden samt Namen und Anschrift.

Das Unternehmen ist informiert, mal schauen, wie lange die Lücke noch offen bleibt.

Update von Montag:

niiu hat reagiert und u.a. dieses gebloggt:

Wir möchten ausdrücklich darauf hinweisen, dass dritte Personen, die kein Benutzerkonto bei niiu haben, zu keinem Zeitpunkt auf niiu-ePaper anderer Kunden zugreifen konnten!

Und hier möchte ich ausdrücklich darauf hinweisen, dass ich kein Benutzerkonto bei niiu habe und auf die ePaper von zahlreichen Kunden zugreifen konnte, sonst hätte ich u.a. nicht das ePaper des CTO gefunden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Um es flapsig zu formulieren, das ist eben eine BWL/Mangamentbude. Sie haben anscheinden nur eine Person im Team für IT (Zitat: „Mit einem Background aus Information Architecture, Usability, SEO und Social Media“).
    Die technische Unterstützung macht previon, wie man auch unter http://niiu.de/informationen/team lesen kann.
    Die Frage ist nun wer hats verbockt? Wobei verantwortlich ist in meinen Augen der, der es anbietet.

    Das meiner Meinung ein (typisches) Web2.0 Problem. Gute Ideen, aber die werden dann mit heisser Nadel gestrickt nach dem Prinzip „Wenns läuft ist es gut“. Nur Web2.0 heißt auch, dass man viele sensitive Daten hat. Das sollte auch bedeuten, dass man der Sicherheit einen höheren Stellenwert einräumt. Aber hipp zu sein und viel PR zu machen ist dann meistens doch wichtiger.

  2. Ari bringt es eigentlich sehr schön auf den Punkt. Genau so schaut das Daily Business heutzutage aus.

    Da erklärt z.B. eine namhafte Hamburger Agentur dem Kunden, mit Ruby on Rails geht das Projekt spätestens in 30 Tagen online. Technisch sei das absolut beherrschbar und man kann sich eigentlich jetzt schon voll auf das Marketing fokusieren, das ist eh viel wichtiger. In solchen Meetings steigt mein Blutdruck dann immer unaufhaltsam ;).

  3. Liebe niiu-Leser,
    ein uns wohlgesonnener Journalist hat uns darauf aufmerksam gemacht, dass es mit einem technischen Aufwand möglich ist, als angemeldeter Leser des zukünftigen niiu-ePapers, zusammengestellte Zeitungen anderer niiu-ePaper-Leser anzusehen.
    Wir sind gerade dabei, dieses Problem schnellstmöglich zu beheben. Der Datenschutz hat bei uns absolute Priorität. Falls Du Fragen hast, kannst Du die Geschäftsleitung direkt erreichen unter wanja@niiu.de

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.