Heute haben einige Bigstock-Anbieter etliche Emails erhalten, die nicht (nur) für sie bestimmt waren. Darin ging es um die Information, dass das eingereichte Steuerformular abgelaufen sei und erneuert werden müsse.
Das Besondere an der Email: Bigstock hat darauf verzichtet, jeden Anbieter einzeln anzuschreiben, sondern quasi eine Sammel-Email verfasst, in der in der „An:“-Zeile jeweils 125 Empfänger gleichzeitig angeschrieben wurden:
Hier ein Blick in die komplette Email mit einem anonymisierten Auszug der Emailadressen:
Warum ist das relevant und gefährlich?
Zum einen ist diese Aktion von Bigstock natürlich ein grober Verstoß gegen die Europäische Datenschutz-Grundverordnung (DSGVO), welche besagt, dass die Weitergabe von Email-Adressen nur zulässig ist, wenn eine Einwilligung erteilt wurde. Ich bezweifle stark, dass alle Anbieter angewilligt haben, dass ihre Emailadresse an hunderte andere Anbieter weitergegeben werden darf.
Zum anderen ist das unnötige Bekanntwerden einer Emailadresse ein potentielles Sicherheitsrisiko, weil es in den falschen Händen Verbrechern mindestens drei, eher mehr Informationen verrät:
- Die Email-Adresse selbst
- dass die Person hinter der Adresse Anbieter bei Bigstock ist
- dass die Person ein abgelaufenes Steuerformular bei Bigstock hinterlegt hat
- ggf. auch: den Namen der Person selbst, falls sich diese aus der Mailadresse ableitet oder im Impressum von selbst-gehosteten Domain verbirgt, dann meist sogar mit Adresse
- ggf. auch: Dass die Person seit mindestens vier Jahren bei Bigstock aktiv ist, weil die Steuerformulare meist für ca. vier Jahre gültig sind
Mit dieser Kombination aus Informationen können zum Beispiel maßgeschneiderte Phishing-Angriffe versucht werden, die mit gefälschten Emails versuchen, die Empfänger zum Klick auf eine betrügerische Webseite zu bewegen.
Falls die Person die gleiche Kombination aus Email-Adressen und Passwörtern verwendet, werden auch Logins durch Hacker ermöglicht, wenn diese solche Daten aus früheren Passwort-Leaks haben. Ich erinnere da nur an die Passwort-Leaks bei EyeEm und 500px oder Adobe. Dann ist ggf. die Auszahlung vom Guthaben in Gefahr.
Zusätzlich zum Sicherheitsaspekt dieser Aktion waren die Emails von Bigstock auch sehr nervig, weil einige Betroffene teilweise bis zu über 140 Emails erhalten haben. Waren in der ersten Email noch ca. 100 Empfänger sichtbar, ist die Empfängerliste zum Schluss auf über 185 Empfänger angewachsen.
Was tun?
Falls ihr auch diese Emails von Bigstock empfangen habt, gelten die üblichen Regeln, um seine Identität im Internet zu schützen: Benutzt nie das gleiche Passwort für verschiedene Seiten. Solltet ihr euer Bigstock-Passwort auch auf anderen Seiten einsetzen, solltet ihr es schleunigst ändern.
Ideal wäre auch die Verwendung eigener Emailadressen für jede Webseite. So lassen sich bei Google Mail beispielsweise beliebige Varianten der eigenen Emailadresse hinzufügen, die alle im gleichen Postfach landen, wobei Google aus Datenschutzgründen auch nicht die erste Wahl für Emailadressen sein sollte.