Die Firma Ruf hat sich jetzt öffentlich zu ihrem Datenleck geäussert und sich bei unserer Quelle für die Informationen zur Sicherung der Daten bedankt: RUF verbessert Sicherheitsstandards. Etwas dumm gelaufen ist wohl der Hinweis, dass davon natürlich keine sensitiven Daten betroffen waren*:
Betroffen waren lediglich die Profildaten der Community-Nutzer, die weder Anschrift, Telefonnummer, Reisedaten oder Kontoverbindungen enthalten. Bei diesen Aktivitäten waren zu keinem Zeitpunkt unsere aktuellen Kunden- oder Buchungsdaten in Gefahr bzw. betroffen.
Stimmt. Bei den von uns veröffentlichten Informationen war vom Buchungssystem noch keine Rede. Aber eine Heise-Security-Meldung von heute hat neue Informationen, die das Statement von Ruf wieder etwas obsolet machen:
Der Reiseveranstalter Ruf-Jugendreisen hatte nicht nur Sicherheitsprobleme mit seiner Online-Community, sondern auch in seinem Buchungssystem. Durch Angabe einer einfachen URL mit einer gültigen System-ID war es für jedermann möglich, ohne Login die Buchungsreservierungen einzusehen, wie heise Security in einem kurzen Test mit mehreren Buchungen nachvollziehen konnte.
*Wobei ich ich frage, ob die mir zugeschickte Datenbank nur lauter Fake-Profiladressdaten enthielt. Kann ich mir nicht vorstellen.
Ist doch immer so ;)
Es wurden NIEMALS persönliche/sensitive Daten entwendet/korrupiert/etc.
Es bestant NIEMALS eine Gefahr für die Bevölkerung.
Natürlich sind die „Chefs“ zutiefest betroffen und bedauern den „Vorfall“.
Es wird stets Besserung gelobt und soll sich nicht wiederholen.
Dann wird eventuell sicherheitshalber die Justizkeule geschwungen und das wars. Groß ändern muss man dann ja nichts mehr.
Die Unternehmen wollen doch eh nichts ändern/bessern, die wollen Geld und das wars. Die Nutzer/Kunden werden kurz verarscht, freuen sich wie sehr sich die Unternehmen „bemühen“ und dann bleibt alles beim Alten.
Wo ist eigentlich die Politik? Es geht doch um Kinder/Jugendliche! Wo ist der Aufschrei? Die Kinderdaten, bzw. Jugendlichendaten könnten durchs Internet kursieren und das darf kein rechtsfreier Raum sein! — Achso, sorry, die haben ja keine Lobby…
Äh ich kenne mich leider nicht mit Microsoft IIS aus, aber laut Header von http://www.ruf-jugendreisen.de/:
Server: Microsoft-IIS/5.0
Das ist doch schon etwas angestaubt, oder?
Die Pressemitteilung von RUF ist einfach nur ein deutlicher Hinweis auf die Art und Weise, wie der Umgang in dieser Firma gepflegt wird. Erst war der aufdeckende Internetfreak der Böse und es wurde mit Strafanzeige gedroht – dann auf einmal ist er der Gute und wird gelobt und sich bedankt. Natürlich hat dies absolut gar nichts mit den Reaktionen auf die Arroganz von RUF zu tun. Nein – auf einmal und ganz plötzlich hat man es eingesehen. Lächerlich.
Der neuerliche Datenskandal zeigt doch eindeutig worauf es ankommt: Tarnen, täuschen und vertuschen was irgendwie geht. Die Community – im Grunde nicht mehr als eine Adresssammlung für Werbezwecke – wird zum Bummerang der Überheblichkeit. Irgendwie passend, dass sich der Marketing Chef von RUF in seinem Blog selbst als IT Fachmann bezeichnet. Respekt vor so viel Sachverstand….
Micha
Das wird ja immer lustiger…
http://www.nw-news.de/lokale_news/bielefeld/bielefeld/3346136_Online-Community_von_Ruf_Jugendreisen_gehackt.html
„Dabei seien zu keiner Zeit sensible Daten der Forumsnutzer in Gefahr gewesen. „Der Hacker hatte lediglich die Möglichkeit, sich die Profile der Mitglieder anzusehen, die ohnehin öffentlich zugänglich sind“, erklärt Sölter.“
> Wobei ich ich frage, ob die mir zugeschickte Datenbank nur lauter Fake-Profiladressdaten enthielt. Kann ich mir nicht vorstellen.
Das lässt sich doch sehr einfach mit einem Telefonbuch überprüfen.