Über Themen mit H Testbericht

Hallo Leute,
heute möchte ich mal eine wahre Geschichte schreiben. Es ist zwar schon fast ein Jahr her, dass mir das passiert ist, aber es ist ja bald wieder Ostern.
Da viele von Euch bestimmt auch fleißige Webmiles-Sammler sind, könnte meine Geschichte vielleicht auch Euch passieren.

Am Karfreitag, dem 12.4.01 konnte ich mich morgens noch ganz normal bei Webmiles einloggen. Am späten Abend ist dann Folgendes passiert:
Ich konnte mich nicht mehr bei Webmiles einloggen und wollte ich mir das Paßwort zusenden lassen. Daraufhin kam die Meldung 'Username / E-Mail - Kombination unbekannt'. Ich habe dann die Kontrollfrage beantwortet und bekam die Meldung, daß mein Paßwort an folgende Adresse gesendet wurde:

[email protected]

Mein Schreck war groß, als ich dies lesen musste, denn diese E-Mail Adresse war mir völlig unbekannt. Offenbar hatte sich jemand irgendwie Zugang zu meinem Webmiles-Konto verschafft und meine Daten so geändert, dass mir der Zugang versperrt wurde. Vermutlich, dachte ich mir, handelte es sich um einen Hacker-Angriff.

Ich habe sofort am 13.4.2001 eine Mail an Webmiles geschickt, in der ich den Vorfall geschildert habe und um Klärung bat. Außerdem habe ich das Unternehmen in einer weiteren Mail dazu aufgefordert, dafür zu sorgen, dass von meinem Konto keine Prämieneinkäufe getätigt werden, solange die Zugriffsrechte nicht geklärt sind. Da ich keine Antwort erhielt, schrieb ich am 17.04.2001 und am 18.04.2001 noch einmal eine Mail. Außerdem habe ich versucht, eine Anfrage auf der 'Donnerwand' zu posten, aber die wurde nicht veröffentlicht.

Ich wusste ja auch nicht, was eigentlich passiert war. Vielleicht hatte sich ja auch jemand irgendwie auf meinem Computer zu Hause eingehackt dort meine Passwortdateien geknackt. Irgendwo hatte ich mal gehört, dass so was möglich ist. Also habe ich meine sämtlichen Accounts bei allen möglichen Internet-Diensten durchforstet und alle Passwörter geändert. Aber außer bei Webmiles hatte ich nirgendwo Probleme.

Drei Tage später habe ich über Postings im Webmiles-Forum und bei Askforce Kontakt zu 2 weiteren Webmiles-Nutzern bekommen, bei deren Accounts seit Ostern ein ähnliches Problem aufgetreten war (Ich nenne sie hier mal Per und Reg). Diese hatte ebenfalls auf ihre verzweifelten Mails an Webmiles noch keine Antwort bekommen.
Dies beruhigte mich aber zumindest soweit, dass es sich nicht um einen gezielten Angriff gegen mich handelte, sondern das tatsächlich ein Hacker bei Webmiles sein Unwesen trieb.

Am 19.04.2001, also fast eine Woche später erhielt ich vom Webmiles folgende Antwort:
__________________________

Hallo webmiler,

vielen Dank fuer Ihre Nachricht. Sie sind natuerlich zu Recht besorgt wegen der merkwuerdigen Vorgaenge, bitte entschuldigen Sie, dass ich mich erst jetzt melde. Ich habe Ihr Problem an unsere Datenschutzexperten weitergeleitet und sobald ich eine Antwort erhalte, wie ich in diesem Fall verfahren soll, werde ich mich natuerlich sofort bei Ihnen melden.
Ihr Problem ist naemlich wirklich heikel und in dieser Form bisher noch
nie aufgetaucht, wir werden aber sicher eine Lösung finden.

Mit freundlichen Gruessen
Ihr Frank Donner
_______________________________

Das half mir auch nicht sonderlich weiter. Ich habe sofort noch mal nachgefragt, ob Webmiles wenigsten dafür Sorge trägt, dass aus meinem Account keine Prämien gekauft werden, solange das Zugriffsproblem besteht. Aber auch auf diese Mail erhielt ich keine Antwort.

Ein paar Tage später berichtete mir Per, dass er von Webmiles folgende Mail bekommen hatte.
________________________________

Hallo webmiler,

schoenen Dank fuer Ihre Anfrage. Ihr Password koennen wir nur verschicken,
wenn Sie die Authentifizierungsfrage richtig beantwortet haben. Da in Ihren
Userdaten eine alte E-Mail-Adresse registriert ist, ist dies momentan nicht
moeglich. Wir koennen Ihnen jedoch anbieten, Ihre eMail-Adresse zu
aktualisieren, wenn Sie mir eine Kopie Ihres Personalausweises, eine
Bevollmaechtigung zur Aenderung Ihrer Userdaten, sowie Ihren Usernamen, Ihre
alte und Ihre neue eMail-Adresse und die exakte Antwort auf die
Authentifizierungsfrage per Post (Adresse s. Signatur) zuschicken. Dann
koennen Sie die Option 'Password vergessen?' nutzen, und die Antwort wird
Ihnen an die korrekte eMail-Adresse zugeschickt.

Mit freundlichen Gruessen
Ihr Frank Donner
______________________________________

Dies war ja wenigstens ein Lösungsansatz, wenngleich damit auch nicht geklärt wurde, wie es überhaupt zu so einem Problem kommen konnte. Nun Per hat also einen entsprechenden Brief geschrieben und konnte mir zwei Tage später berichten, dass er wieder Zugriff auf seinen Account hatte und auch alle Webmiles noch da waren.

In dieser Sache hatte ich am 20.04.2001 mit einem Mitarbeiter der Internet Task Force des Bundeskriminalamtes gesprochen. Dieser erklärte mir, dass schon das Ausspähen von Passwörtern und das Eindringen in fremde Konten, mit dem Ziel, diese für die rechtmäßigen Inhaber unzugänglich zu machen, eine schwere kriminelle Handlung darstellt. Er hat mir außerdem geraten, möglichst schnell Anzeige zu erstatten. Ich war auch schon drauf und dran, eine entsprechende Anzeige abzuschicken, aber nachdem Per mir mitgeteilt hatte, dass er wieder Zugriff hat und alle seine Webmiles noch da waren, habe ich mich erst mal für’s Abwarten entschieden.

Jetzt konnte ich auch wieder Hoffnung schöpfen, obwohl ich am selben Tag von Webmiles folgende Mail erhalten hatte:
________________________________

Hallo Webmiler,

bitte entschuldigen Sie, dass ich laenger nichts von mir hoeren liess. Ich
warte selbst noch auf Nachricht wie das passieren kann. Sobald ich Bescheid
weiss, werde ich natuerlich umgehend von mir hoeren lassen.

Mit freundlichen Gruessen
Ihr Frank Donner
________________________________

Merkwürdig war das schon, wie hier verschiedene User auf die gleichen Fragen unterschiedliche Antworten erhielten.

Dann erhielt ich von Reg (dem anderen Betroffenen) die Info, dass er nach vielen verzweifelten Mails an Webmiles (und nachdem er aus Angst vor Hackern seinen gesamten Computer neu installiert hatte) die gleiche Mail wie Per bekommen hatte und ebenfalls zwei Tage nachdem er seine Ausweiskopie und die entsprechenden Daten an Webmiles geschickt hatte, wieder Zugriff auf seinen Account bekam.

Ich hatte zwar noch keine neue Info von Webmiles bekommen, aber ich habe dann auch einfach mal einen entsprechenden Brief und meine Ausweiskopie an Webmiles geschickt. Nach zwei weiteren Tagen hatte Webmiles dann die Email-Adresse in meinem Account geändert und konnte ich mir dann das Passwort zusenden lassen. Dieses Passwort (das jemand in meinem Account geändert hatte) bestand aus einer willkürlichen Buchstaben-Zahlen-Kombination und sah so aus, als hätte mal eben jemand quer über die Tastatur getippt. Meine Webmiles waren auch alle noch da, der Hacker wollte wohl einfach nur mal Webmiles gegenüber zeigen, was er drauf hat.

Offen bleibt nur die Frage, ob Webmiles dies überhaupt realisiert hat. Ich bin einigermaßen enttäuscht von der ganzen Art und Weise, wie Webmiles hier reagiert hat. Zum einen sieht es so aus, als wollten sie gar nicht wahrhaben, dass Webmiles hier möglicherweise ein Sicherheitsproblem hat. Vielmehr scheint es, als wolle Webmiles den schwarzen Peter bei den Usern lassen, die zu blöd sind, sich ihre Passwörter zu merken und keinen Überblick über ihrer Email-Accounts haben. (Seltsam nur, dass mindestens 3 User gleichzeitig von dieser merkwürdigen Amnesie befallen wurden. Wer weiß, wie hoch die Dunkelziffer ist!)

Oder Webmiles ist sich dessen sehr wohl bewusst und will auf keinen Fall zugeben, dass es einen Hackerangriff gegeben hat. Vielleicht lag das Problem ja auch wo ganz anders, aber das werde ich wohl nie erfahren. Das dies nicht gerade das Vertrauen der betroffenen User stärkt, scheint der Webmiles AG egal zu sein. Ich hoffe mal, dass sie wenigstens intern irgendwelche Vorsichtsmaßnahmen ergreifen, damit es mir nicht irgendwann noch einmal so geht.


__________________________________________

Abschließend möchte ich noch ein Lob für Dooyoo aussprechen: Da in dieser Zeit ja meine Webmiles von Dooyoo quasi ins Nirwana übertragen wurden, wollte ich die Webmiles-Übertragung von Dooyoo aus stoppen. Dies war technisch nur möglich, in dem mein Dooyoo-Account gesperrt wurde. Dies habe ich dann auch veranlasst. Es war zwar keine optimale Lösung, aber Dooyoo hat wenigstens innerhalb eines Tages auf meine Mail reagiert und einen Lösungsvorschlag gemacht. Auch das Freischalten meines Accounts hat innerhalb eines Tages geklappt.

Jedenfalls hatte ich jede Menge Sorgen und Arbeit deshalb und konnte 3 Wochen keine Webmiles sammeln. Mein Fazit: Wer sich bei ernsthaften Problemen auf den Service von Webmiles verlässt, ist verlassen.

Perfekte Sicherheit im Netz gibt es wohl wirklich nicht.