Datenschutz-​Panne bei der Bildagentur Bigstock

Heute haben eini­ge Bigstock-Anbieter etli­che Emails erhal­ten, die nicht (nur) für sie bestimmt waren. Darin ging es um die Information, dass das ein­ge­reich­te Steuerformular abge­lau­fen sei und erneu­ert wer­den müsse.

Das Besondere an der Email: Bigstock hat dar­auf ver­zich­tet, jeden Anbieter ein­zeln anzu­schrei­ben, son­dern qua­si eine Sammel-​Email ver­fasst, in der in der „An:“-Zeile jeweils 125 Empfänger gleich­zei­tig ange­schrie­ben wurden:

Hier ein Blick in die kom­plet­te Email mit einem anony­mi­sier­ten Auszug der Emailadressen:

Warum ist das relevant und gefährlich?

Zum einen ist die­se Aktion von Bigstock natür­lich ein gro­ber Verstoß gegen die Europäische Datenschutz-​Grundverordnung (DSGVO), wel­che besagt, dass die Weitergabe von Email-​Adressen nur zuläs­sig ist, wenn eine Einwilligung erteilt wur­de. Ich bezweif­le stark, dass alle Anbieter ange­wil­ligt haben, dass ihre Emailadresse an hun­der­te ande­re Anbieter wei­ter­ge­ge­ben wer­den darf.

Zum ande­ren ist das unnö­ti­ge Bekanntwerden einer Emailadresse ein poten­ti­el­les Sicherheitsrisiko, weil es in den fal­schen Händen Verbrechern min­des­tens drei, eher mehr Informationen verrät:

  • Die Email-​Adresse selbst
  • dass die Person hin­ter der Adresse Anbieter bei Bigstock ist
  • dass die Person ein abge­lau­fe­nes Steuerformular bei Bigstock hin­ter­legt hat
  • ggf. auch: den Namen der Person selbst, falls sich die­se aus der Mailadresse ablei­tet oder im Impressum von selbst-​gehosteten Domain ver­birgt, dann meist sogar mit Adresse
  • ggf. auch: Dass die Person seit min­des­tens vier Jahren bei Bigstock aktiv ist, weil die Steuerformulare meist für ca. vier Jahre gül­tig sind

Mit die­ser Kombination aus Informationen kön­nen zum Beispiel maß­ge­schnei­der­te Phishing-​Angriffe ver­sucht wer­den, die mit gefälsch­ten Emails ver­su­chen, die Empfänger zum Klick auf eine betrü­ge­ri­sche Webseite zu bewegen.

Falls die Person die glei­che Kombination aus Email-​Adressen und Passwörtern ver­wen­det, wer­den auch Logins durch Hacker ermög­licht, wenn die­se sol­che Daten aus frü­he­ren Passwort-​Leaks haben. Ich erin­ne­re da nur an die Passwort-​Leaks bei EyeEm und 500px oder Adobe. Dann ist ggf. die Auszahlung vom Guthaben in Gefahr.

Zusätzlich zum Sicherheitsaspekt die­ser Aktion waren die Emails von Bigstock auch sehr ner­vig, weil eini­ge Betroffene teil­wei­se bis zu über 140 Emails erhal­ten haben. Waren in der ers­ten Email noch ca. 100 Empfänger sicht­bar, ist die Empfängerliste zum Schluss auf über 185 Empfänger angewachsen.

Was tun?

Falls ihr auch die­se Emails von Bigstock emp­fan­gen habt, gel­ten die übli­chen Regeln, um sei­ne Identität im Internet zu schüt­zen: Benutzt nie das glei­che Passwort für ver­schie­de­ne Seiten. Solltet ihr euer Bigstock-​Passwort auch auf ande­ren Seiten ein­set­zen, soll­tet ihr es schleu­nigst ändern.

Ideal wäre auch die Verwendung eige­ner Emailadressen für jede Webseite. So las­sen sich bei Google Mail bei­spiels­wei­se belie­bi­ge Varianten der eige­nen Emailadresse hin­zu­fü­gen, die alle im glei­chen Postfach lan­den, wobei Google aus Datenschutzgründen auch nicht die ers­te Wahl für Emailadressen sein sollte.