So etwas kann man sich gar nicht mehr ausdenken! Libri.de hatten wir ja gerade erst, weil die mal eben sämtliche Rechnungen aller Geschäftsvorgänge offen in das Internet gestellt hatten, natürlich mit Anschrift, bestellten Büchern etc. Aber was die da an Failware für ihr Geschäft benutzen, scheint noch ein paar weitere sperrangelweit offene Scheunentore zu haben. Wer dort einen Account als Händler hatte, der bekam eine Nummer und ein initiales Passwort. Und dieses Passwort war für alle Händler gleich, und die Nummern wurden fortlaufend vergeben. Natürlich ändert nicht jeder ein Passwort, das ihm zugeteilt wird – das ist nun einmal der alltägliche Irrsinn im Datenschutz. Um mal zu schauen, wie das Geschäft des Mitbewerbes so läuft und wer dort alles so bestellt und was er bestellt, musste einfach nur eine andere Nummer mit dem gleichen Passwort ausprobiert werden. Jedes verkackte, quelloffene Blog hat einen Mechanismus, zufällige Passwörter bei einer Anmeldung zu generieren, aber zum schlichten Abschreiben dieses Codes waren die Programmierer dieser Schrottware offenbar nicht imstande. Wahrscheinlich haben die gar keinen Sinn darin gesehen, über so etwas auch nur nachzudenken. Wenn mich jemand fragt, sollten diese tollen Programmierer einfach geteert und gefedert werden, und die Leute vom TÜV, die so einen datenschutzmäßigen Schrotthaufen als einen »vertrauenswürdigen Shop« zertifizieren, gleich hinterher. Natürlich hat Libris.de auch reagiert. Die haben die bekannt gewordenen Löcher einfach gestopft und verlautbart, dass die Leute von Netzpolitik ganz pöse pöse Häcker seien, die sich illegal und durch systematisches Raten Zugang verschafft hätten. Ein einfacher Fail reicht eben nicht, es muss ja unbedingt »Epic« werden…
(Mir scheint, die für die Kommunikation zuständigen Menschen dort sind genau so »kompetent« wie die Programmierer der tollen Software.)
Wer noch einmal auf die Idee kommt, dass man irgendwo im Internet irgendjemandem so vertrauen könne, dass man dort so persönliche Daten wie eine Anschrift oder so missbrauchbare Daten wie eine Kreditkartennummer oder die (richtige, für persönliche Kommunikation verwendete) Mailadresse eingibt, der sollte übers Knie gelegt werden. Auf den Kopf schlagen hilft wohl nicht mehr. Leute, seid bitte nicht mehr so schafdoof und gebt eure Daten so freizügig raus – wenn man sparen muss, wird beinahe immer und überall an der Qualität der Software für den Webauftritt gespart. Ich habe von einigen Jahren selbst erlebt, wie ein unbetreuter und sehr billiger Azubi einen kompletten Shop geschrieben hat, der einem sehr großen Unternehmen als »aufwändig erstellte Qualitätssoftware« verscherbelt wurde – mein Auftritt war es dann, darin unter Zeitdruck (die Kaufleute hatten das Strokelding tatsächlich schon verkauft) mehrere Dutzend sehr böse Bugs zu fixen, und glaube mal niemand, dass der arme Azubi mal in dem tollen Unternehmen (nein, ich werde keine Namen nennen, habe so etwas aber mehr als einmal erlebt) von irgendjemanden irgendetwas davon gehört hat, in welcher Weise eine Website angegriffen werden kann und auch angegriffen wird – jeder Rechner mit permanenter Internetverbindung ist nun mal ein Opferrechner. Der wurde einfach nur dreieinhalb Jahre als billige und willige Arbeitskraft missbraucht und konnte sehen, wo er sich nebenbei noch seine Kenntnisse herholt und wie er durch die IHK-Prüfung kommt. Je weniger die Menschen davon wissen, wie Software und Würstchen gemacht werden, desto ruhiger pennen sie. Nicht nur in der Nacht, auch am hellichten Tage.