Sehr geehrte Damen und Herren,
am 12.03.2013 habe ich unter der Bestellnummer XXXXXX erstmalig und einmalig bei Ihnen einen Artikel bestellt. Für allein diesen Vorgang habe ich eine eigene Mailadresse (bergzeit@meinedomain.de) angelegt. Ich kann zu 100% ausschließen dass diese Mailadresse für irgendeinen anderen Zweck gebraucht oder jemand anderes außer Ihnen mitgeteilt wurde.
Ein Jahr später erhalte ich nun bösartige SPAM Mitteilungen mit Viren im Anhang gezielt an die bergzeit@meinedomain.de Mailadresse. Da ich sehr sicher bin, dass Ihr Unternehmen die einzige Firma ist welche Kenntnis von der Mailadresse hat, muss ich von 2 Möglichkeiten ausgehen:
1. Ihr Shopsystem oder Ihre Kundenstammdaten wurden ohne ihr Wissen böswillig von außen gehackt, und alle Kundendaten kopiert.
2. Ein Mitarbeiter mit Zugriff auf Ihr Shopsystem bzw. Ihre Kundendaten hat ohne Ihr Wissen die Daten exportiert und gewinnbringend an Dritte verkauft
So oder so informiere ich Sie hiermit über ein Datenleck, welchem Sie dringend nachgehen sollten.
wobei man hier noch positiv hervorheben kann, wie auf meine Mail reagiert wird. Die IT Abteilung des Shops hat mich mit weiteren spezifischen Nachfragen kontaktiert, die nehmen das scheinbar ernst.
Da können sich Simyo, Naviki und LeapMotion mal ne Scheibe von abschneiden, die haben mich einfach ignoriert.
——–
Update: Der Leiter der IT Abteilung von bergzeit.de macht auf mich einen sehr kompetenten Eindruck, er stellt die richtigen Fragen und bestätigt den datenschutztechnisch richtigen Umgang mit Kundendaten innerhalb des Unternehmens. Der Fall wird intern weiter analysiert. Natürlich ist klar, das ein Datenleck aus der Vergangenheit schwer aufzuspüren ist, aber zumindest wird der Fall ernst genommen.
Die wichtigsten Aussagen:
1. Bergzeit.de speichert Kreditkartendaten nicht selbst; andere Zahlungsdaten sind nur intern zugänglich und nicht via Web erreichbar, ein Hack damit unmöglich.
2. Die Passwörter der Kunden werden vom Shopsystem hashed und salted gespeichert. Sollte also jemand von ausserhalb auf die Datenbank Zugriff gehabt haben, sind die Passwörter nur sehr schwer auslesbar.
Cool danke, ich bin tatsächlich Kunde bei Bergzeit (bzw. habe dort mal was bestellt).