UmfragenVergleich.de plaudert zu viele Daten aus

Beim Portal UmfragenVergleich.de kann man mit der Teilnahme an Umfragen Geld verdienen. Der britische Betreiber des Portals wurde bereits letzte Woche von einem Datenschützer kontaktiert. Er bekam aber bis heute keine Antwort. Wer sich dafür ein Skript schreibt, kann ohne zu hacken, viele personenbezogene Daten aller Nutzer dieser Plattform abfragen.

Betreiber von UmfragenVergleich.de ist die Londoner Marketing VF Ltd. Das Unternehmen wird beispielsweise im Auftrag der GfK, Toluca Influencers, Norstatpanel, YouGov und anderer Studienbetreiber tätig und beteiligt die zahlreichen Teilnehmer der Umfragen an den Einnahmen. Als Prämie erhält man aber nicht nur Geld. Darüber hinaus winken Gutscheine diverser Online-Shops, der Erhalt von Gratis-Artikeln oder die Teilnahme an Verlosungen.


UmfragenVergleich.de: Keine Antwort ist auch eine?

Letzte Woche schrieb der Datenschützer Pascal Böhmer das Unternehmen per E-Mail an. Er erhielt aber darauf keine Antwort. Vor wenigen Tagen hat er seine Anfrage wiederholt. Wieder ohne jede Reaktion. Wir haben es dann heute früh selbst probiert. Nun, auch darauf bekamen wir keine Antwort. Böhmer hat in der Vergangenheit schon mehrere Unternehmen auf bestehende Sicherheitslücken hingewiesen.

Hacken ohne Hacker zu sein

Das Problem. Wer es geschickt anstellt, kann nicht nur die Daten der eigenen Person abfragen, sondern auch die aller anderen User. Der WhiteHat schrieb uns „Seit meiner Test-Registrierung heute um 11:11 Uhr sind 1.961 neue Nutzer dazu gekommen.“ Zum Zeitpunkt dieser Aussage war es 13.30 Uhr. Das sind also in etwas über zwei Stunden fast 2.000 neue Nutzer. Im Anbetracht der vielen Anmeldungen binnen weniger Stunden dürfte die Anzahl der gespeicherten Datensätze sehr hoch liegen.

Seite überträgt Daten unverschlüsselt

Wenn sich nur einer der Personen den Quellcode der Webseite ein wenig genauer angeschaut hätte, hätte dies Bände gesprochen. Im Quellcode wird nämlich unverschlüsselt der Vor- und Zuname, die E-Mail-Adresse, das Land, die Staatsangehörigkeit und das Geburtsdatum des neuen Testers übertragen. Wer ein wenig herumspielt, dürfte schnell herausfinden, dass man so nicht nur die eigenen Daten der Anmeldung abgreifen kann, sondern die aller Nutzer. Wenn sich ein Cyberkrimineller ein Skript schreiben würde, könnte er problemlos die personenbezogenen Daten aller User abgreifen. Der Datenschützer kann nicht nachvollziehen, warum man die ganzen Daten überhaupt frei im Quelltext liegen lässt. Das ist seiner Ansicht nach viel zu gefährlich.

Sobald wir eine Antwort auf die Anfrage oder eine Reaktion auf unseren Beitrag erhalten haben, melden wir uns gerne zeitnah mit einem Update. Interessant ist in dem Zusammenhang die Aussage der Betreiber auf der Hauptseite, man schütze die Daten der Teilnehmer.

Tarnkappe.info

 

Beitragsbild Rishi Deep, thx! (unsplash licence)

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.

Vielleicht gefällt dir auch