Datenleck beim Franzis-Verlag?

Ursprünglich wollte ich den Vorfall eigentlich nicht bloggen, aber durch die zweite personalisierten Phishing Mail (über die ich bereits berichtet habe) angetriggert, gibt es nun doch einen Artikel über das potentielle Datenleck beim Franzis Verlag. Die Situation scheint der Franzis Geschäftsführung ja auch nicht wichtig zu sein.

Franzis Registrierung

Und es begann folgendermaßen: ich habe mich im Zuge des Chip Download Adventskalenders 2012 beim Franzis Verlag für die Schriftenbibliothek registriert. (Infos zu dem Download gibts auch im Photoshop-Cafe)
Wie eigentlich immer, habe ich auch zu diesem Zweck einen speziellen, eindeutigen eMail-Alias verwendet.

Mit der Registrierung war auch die Aufnahme in den Franzis Newsletter verbunden (Zitat aus der eMail zur Registrierung):

Mit Ihrer Programmregistrierung stimmen Sie auch der Zusendung unseres Newsletters zu.
Den Newsletter können Sie über einen darin befindlichen Link jederzeit wieder abbestellen.

Schwächen im System

Damals ist mir schon folgender Punkt negativ aufgefallen (Zitat aus der Bestätigungsemail zur Registrierung):

Um sich zukünftig auf den Webseiten des Franzis Verlags einzuloggen, verwenden Sie bitte nachfolgende Angaben:
Benutzername: myFranzisEmail@example.com
Passwort: z5mjps

Daraus schließe ich, dass Passwort wird auf dem Server im Klartext abgelegt. Die Frage nach dem salzen erübrigt sich somit… Das Passwort ist übrigens auch das original mir zugesandte. Schön für alle, die ein Passwort für mehrere Zwecke nutzen…

Weiter ist mir dann im Bereich “Mein Franzis” aufgefallen, dass sämtliche Formularfelder im dortigen Formular “Meine Daten” nicht korrekt verarbeitet werden (Code einschleusbar). Die Passwortlänge ist auch scheinbar auf 21 Zeichen limitiert.

Franzis Newsletter

Da der Aufnahme in den Newsletter bei der Registrierung nicht widersprochen werden konnte, habe ich diesen manuell gekündigt. Somit sollte ich aus dieser Datenbank (sofern es sich um eine extra Datenbank handelt) relativ schnell wieder rausgefallen sein.

Am 21. Juni bekam ich dann eine erste PayPal Phishing eMail. Dieser war mit meinem bei der Franzis Registrierung verwendeten Namen und mit der dort verwendeten eMail Adresse versehen. Durch die einmalige Verwendung dieser Daten bei Franzis liegt nun die Vermutung nahe, dass es ein Datenleck im Verlag gab.

Kontakt zum Franzis Verlag

Auf die Phishing Mail hin, habe ich am selben Tag Kontakt mit dem Verlag aufgenommen und habe diesen über den Vorfall informiert. Am selben Abend bekam ich noch Antwort vom Geschäftsführer des Franzis Verlags, Thomas Käsbohrer. Hierzu ein Ausschnitt aus seiner Antwort:

Danke für Ihr freundliches Schreiben. Es besteht tatsächlich der Verdacht, dass unser Server gehackt und Teile unserer Adressen für ein Illegales Phishing-Mail verwendet wurden. Wir sind gerade noch dabei, den Schaden und die Anzahl der betroffenen Adressen zu ermitteln. Bislang haben sich bei uns acht Kunden gemeldet.

Mein wiederholtes Nachbohren, wann die Betroffenen informiert werden um sie vor solchen Phishing-Versuchen und dem Verlust des (vielleicht auch noch wo anders verwendeten) Passworts zu warnen, wurde nicht ganz ernst genommen, oder aber meine Sorge wurde nicht geteilt. Hierzu ein Ausschnitt aus einer weiteren Antwort von Hr. Käsbohrer:

Da wir derzeit nicht wissen, wieviele Adressen betroffen sind, werden wir zunächst ermitteln, wieviele und welche Kunden betroffen sind. Und diese dann anschreiben.

Veröffentlichung

Nachdem ich nun vor kurzem die zweite Phishing-eMail erhalten habe, beschloss ich, den Vorfall dennoch hier zu dokumentieren. So besteht vielleicht wenigstens die Chance, dass die Betroffenen noch informiert werden und diese vor einem weiterer Schaden bewahrt werden.

8 comments

  1. Hallo,
    ich kann es leider nur bestätigen. Dez. 2011 bei Franzis registriert, mit einer extra erstellten, niemals sonst benutzten Mail-Adresse, und einen Pseudonym.
    Heute am 4.8.13 eine personalisierte Phishing-Mail erhalten, vorgeblich von amazon, an die damals bei Franzis verwendete Adresse und mit in Vor- und Nachname exakt mit dem damaligen Pseudonym übereinstimmender Anrede.
    Zusätzlich ärgerlich:
    – trotz manuell auf https umgestellter Anmeldeseite werden die Anmeldedaten bei “Mein Franzis” unverschlüsselt übertragen.
    – auf der Seite zur Kennwortänderung werden für das bisherige Kennwort immer exakt die Zahl an Punkten angezeigt, wie das Kennwort Stellen hat. Auch das spricht, nehme ich an, für eine Speicherung des Kennwortes im Klartext.
    – seit dem o.g. 21.6. sin ca. 6 Wochen vergangen. Einen Hinweis auf das Problem habe ich in dieser Zeit von Franzis nicht erhalten.

  2. Bei mir genau das gleiche – ebenfalls vor ca. 2 Jahren bei Franzis registriert, ebenfalls mit einer eindeutigen, einmaligen und nur für diese Registrierung verwendeten Mailadresse incl. Pseudonym.
    Am 05.08 ein Paypal Phishing Mail an genau diese Mailadresse erhalten.

  3. Franzis hat reagiert und hat den Vorfall in einer Nachricht an den eMail Verteiler beschrieben und sich (mit einem 20 EUR Gutschein) entschuldigt.

    Hat zwar eineinhalb Monate gedauert, bis eine Reaktion kam, aber immerhin!

  4. Auch wenn das jetzt nach 2 Jahren Thread-Nekromantie ist: es scheint erneut eine Phishing- und Spam-Welle mit nur beim Franzis Verlag registrierten Emailadressen zu geben. Ich habe den immernoch nicht abwählbaren Newsletterbezug am 2. Juli 2015 beendet und am 2. Oktober erhielt ich 2 Phishing-Mails innerhalb einer Stunde. Seit dem kommen mindestens einmal wöchentlich Spam-Mails, in den letzten Tagen wurden die Abstände aber sehr viel kürzer. Alle Mails sind personalisiert.

    1. Spricht in meinen Augen dafür, dass es einen Einbruch gab, Daten kopiert und weiterverkauft wurden. Ich hab meine Franzis-Adresse längst auf /dev/null geleitet 😉

      Danke für den Hinweis!

    2. Wurde das Datenleck immer noch nicht behoben oder wieso erhalte ich jetzt plötzlich Postbank und Paypal-Spam auf eine eigens für die Registrierung bei Franzis angelegte Mail-Adresse? Registrierung war Anfang des Jahres. Gestern und Heute insgesamt 4 Paypal- und Postbankspams mit persönlicher Anrede erhalten.

  5. Franzis ist ein @%&§$* [Anm.: Original ersetzt]! Die werden selber die Daten verkauft haben, denn Newsletterabmeldungen werden von denen ja auch ignoriert. Abmeldelink nutzt nichts und auch das deaktivieren im Kundenkonto. Paar Tage später kommt von denen wieder Spam und im Kundenkonto sind wieder sämtliche Newsletter aktiviert!

    https://www.verbraucherzentrale.de/spam#beschweren -> Wo kann ich mich beschweren?
    Betroffene Verbraucher können sich beim eco-Verband beschweren. -> http://www.internet-beschwerdestelle.de/

Leave a Reply

Your email address will not be published. Required fields are marked *