Kundendaten / Rechnung für alle sichtbar online?!

  • Danke für den Hinweis. Wird geprüft. Als AdHoc Aktion könnten Sie den Ordner Webserverseitig per Passwort schützen. Die Frage ist nun allerdings auch, wie kam Google zu dem Link auf den Rechnungsordner, der ja per Zufall generierte Zeichen im Ordnernamen enthält und auch in keiner Sitemap zu finden ist…

  • Wie gesagt, wir prüfen das. Als AdHoch Lösung sollten Sie den Ordner mit Passwort schützen und in der Google-Search-Console sämtliche Links auf die PDFs entfernen. Vielleicht können Sie ja in der Google-Search-Console erkennen, wie Google zu den Links kam?

  • Hallo,


    ich hänge Ihnen hier auch mal eine .htaccess Datei an, die Sie so auf dem Server in den Ordner "assets/php/SHOP_DATA" legen können, um den Zugriff auf all dessen Unterordner zu unterbinden.


    Die Datei im Anhang vor dem hochladen mit ZIP entpacken und beim Hochladen darauf achten, dass der Dateiname auch wirklich mit einem "." beginnt, also .htaccess

    Dateien

    • .htaccess.zip

      (197 Byte, 65 Mal heruntergeladen, zuletzt: )

    Freundliche Grüße
    Stefan S. (Zeta Producer-Support)

  • Hallo noch mal,

    wir sind echt sauer! Wir haben bei Ihnen einen voll funktionsfähigen Shop - Baukasten gekauft und Sie heute darüber informiert, dass hier anscheinend durch Programmierfehler Ihrerseits DATENSCHUTZVERLETZUNGEN vorliegen, die für uns ernste Konsequenzen (Vertrauensbruch) haben können. Sie haben sich weder entschuldigt, noch ein Zeitfenster / eine Lösung entwickelt, zu wann und wie SIE die PDF Daten in den Suchmaschinen gelöscht bekommen. Sie können nicht ernsthaft erwarten, dass wir jetzt durch Downloads und Versuche Ihren Fehler beheben . Das ist schon dreist. Wir geben Ihnen letztmalig die Möglichkeit, den Schaden umgehend zu beheben. Geschieht dies nicht bis heute Abend 18 Uhr, werden wir uns weitere Schritte überlegen.

  • Hallo,


    ursprünglich hatten wir im Shop auf einen Verzeichnisschutz per .htaccess verzichtet, weil wir in der Vergangenheit bereits viele Probleme mit diversen Providern unserer Kunden hatten, als wir eine Zeit lang ein globales .htaccess bei der Veröffentlichung mit hochgeladen haben. Einige Provider haben das mit Fehlermeldungen quittiert und das wollen beim Shop wir vermeiden. Die Shop-Daten liegen in einem Ordner mit per Zufallsprinzip erzeugtem Namen.


    Wie der Name in Ihrem Fall in den Google-Index rutschen konnte, können wir von hier aus nicht sagen. ZP bildet selbst ja keinerlei URLs zu den Ordnern mit den Kundendaten und liefert auch keine Dateiauflistungen für Ordner. Der Ordnername muss daher aus unserer Sicht auf anderem Weg publik geworden sein (Virus, versehentlich aktivierte Directory-Index…).


    Natürlich muss ein Entwickler auch damit rechnen, dass über eine andere Schwachstelle so ein Ordnernamen publik wird. Daher werden wir das ab der nächsten Version (14.3) so umstellen, dass mit den Daten für den Shop eine entsprechende .htaccess-Datei, die den Zugriff auf Shop-Daten verbietet, veröffentlicht wird. Falls dies wieder zu Fehlern beim veröffentlichen führen sollte, dann immerhin nur bei Kunden, die auch den Shop nutzen und selbst dann ist das ggf. besser als schutzlos zu veröffentlichen.


    Wer sich bis dahin besser schützen möchte, bitte wie im vorigen Post beschrieben verfahren.

  • Entschuldigen Sie! Natürlich tut uns das schrecklich leid und mir tut es leid, dass ich mich initial nur auf eine Lösung konzentriert habe, statt auch eine entsprechende Entschuldigung abzusetzen.


    Eine Lösung für das Problem hatte ich ja so innerhalb von 1.5 Stunden in Beitrag #5 aufgezeigt. Da wir nicht Google sind, haben wir leider auch keinen Einfluss auf deren Index. Durch die .htaccess hat Google keinen Zugriff auf de PDF-Dateien mehr und dadurch werden diese dann auch irgend wann mal aus dem Index entfernt, das kann aber dauern. Bereits indizierte Dateien sollten Sie also besser gleich selbst über die Search-Console entfernen (darauf haben wir auch keinen Zugriff).

  • Ich gebe das an den Datenschutzbeauftragen des Landes NRW weiter und / oder an den Anwalt. #5 ist für mich keine Lösung, sondern eine Anwender - Überforderung eines Baukastenusers. Sorry!

  • Hallo Herr Mehler,


    was erwarten Sie denn, was wir hier im Sinne einer "Lösung" für Sie tun sollten? Welchen Bezug haben Sie denn zu http://www.regacell-shop.de? Sind Sie der Betreiber oder sprechen Sie in dessen Auftrag…?


    Wenn Sie die Lösung in Beitrag #5 überfordert, können Sie mir gerne auch die Zugangsdaten senden, dann lade ich die Datei für Sie hoch. Dazu schreiben Sie bitte eine Mail an support[ät]zeta-producer.com ([ät] durch @ ersetzen) und nennen Sie uns darin als Referenz einen Link zu diesem Beitrag hier, den FTP-Servernamen den FTP-Benutzewrnamen und das FTP-Passwort (das sollten Sie dann, wenn wir mit dem Hochladen fertig sind gleich wieder ändern).

  • Im Moment ist übrigens die ganze Website nicht erreichbar. Ich hoffe, Sie haben die .htaccess aus dem Anhang oben nicht ins Root-Verzeichnis hochgeladen, das hätte nämlich diese Auswirkung. Die Datei darf nur in den Unterordner SHOP_DATA hochgeladen werden, den Sie in assets/php/ finden.

  • Stefan Mehler Hallo,

    Sie haben um 10.47 Uhr hier Ihren Eingangs-Beitrag veröffentlicht und Ihre Verärgerung über öffentlich einsehbare Rechnungen ist selbstverständlich nachvollziehbar.

    Bereits um 11.21 Uhr hat man Ihnen seitens des Herstellers jedoch erstmalig geantwortet und danach noch mehrere Adhoc-Lösungen und sofortige Hilfe angeboten (hochladen der .htaccess-Datei durch den Entwickler).

    Diese Angebote haben Sie jedoch abgelehnt. Dennoch fahren Sie hier sofort "Geschütze" auf, drohen mit rechtlichen Schritten bzw. Meldung an den Datenschutzbeauftragten. Ich denke nicht, dass das zu einer Problemlösung beiträgt und finde ein solches Verhalten (aus Sicht eines Anwenders, zu denen ich auch gehöre) recht seltsam.

    Keine Software der Welt ist fehlerfrei und auch bei den Entwicklern handelt es sich um Menschen. Letztendlich hat der Zeta-Entwickler ja auch nicht absichtlich eine "Sicherheitslücke" programmiert. Ebenso ist davon auszugehen, dass Herr Seiz nicht bewusst eine umgehende Entschuldigung ausgelassen hat.

    Aber natürlich muss zunächst einmal geklärt werden, wie es dazu kommen konnte, dass die Daten überhaupt in den Google-Index gelangt sind!

    Wie soll dann also vom Zeta-Support unmittelbar nach Eingang Ihres Hinweises ein Zeitfenster oder gar eine Lösung entwickelt werden, was sie nach weniger als zwei Stunden seit Veröffentlichung Ihres ersten Beitrags bemängelten?

    Mir sind Ihre Forderungen und auch Ihre Drohungen wirklich suspekt.

    Trotzdem Grüße ins Ruhrgebiet!

  • Stefan Mehler,


    ich nutze für die Bestellung von Vereinsbekleidung ebenfalls den Online-Shop und habe anhand von Adressdaten diverser Bestellungen seit Oktober 2017 den Gegentest gemacht, ob auch unsere Rechnungen im Google-Index auftauchen. Unsere Seiten werden teilweise mehrmals täglich von Google gecrawlt, im Durchschnitt der letzten 3 Monate wurden täglich 248 Seiten von Google indiziert oder aktualisiert. Wenn es im Programm eine Verlinkung auf SHOP_DATA gäbe, wären auf alle Fälle auch Rechnungen an unsere Mitglieder in den Suchergebnissen zu finden. Tatsächlich ist es aber so, dass unter Eingabe der entsprechenden Suchbegriffe ausschließlich Rechnungen Ihrer Webseite gelistet werden. Es gibt keinen weiteren Online-Shop, der mit Zeta betrieben wird und ebenfalls ein "Datenleck" hat.


    Sämtliche Suchergebnisse verweisen auf eine Seite mit http:// beginnend. Hier befindet sich die erste Sicherheitslücke. Sie haben Ihre Seite bei 1&1 gehostet. Dort ist eigentlich in jedem Paket ein SSL-Zertifikat enthalten, welches Sie anscheinend auch aktiviert haben. Hierbei haben Sie es aber versäumt, die Nutzung über https:// zu erzwingen.


    Unter Ihrer Seite https://www.regacell-shop.de/ ist keine robots.txt erreichbar, die eventuelle Zugangsbeschränkungen für Suchmaschinenrobots enthält.


    Ich habe mir im Interesse Ihrer Kunden erlaubt, für die Rechnungen 1001 bis 1044 über meine GSC einen Antrag auf Entfernung veralteter Seiten zu stellen, da diese auch heute noch in den Suchergebnissen auftauchten. Wenn Sie selbst GSC-Nutzer sind, sollten Sie eine entsprechende Benachrichtigung über die GSC erhalten.


    Bitte kontrollieren Sie, ob Sie über die .htaccess erweitere Freigaben für die Indizierung erteilt haben.

  • Hanabi Hallo Thomas,

    wie immer warst Du schneller am Start. Mir war auch aufgefallen, dass die betreffenden URL als "Nicht sicher" angezeigt waren und dachte mir schon, dass es sich wohl eher um einen Fehler seitens des Beitragsschreibers handelt und nicht um ein Problem beim Zeta Producer. Umso befremdlicher, hier das Supportangebot von Zeta strikt abzulehnen und gleichzeitig dem Software-Entwickler mit rechtlichen Schritten zu drohen...



    Ich möchte nicht anmaßend sein, aber wer kritisiert, man habe sich hier seitens des Supports nicht unmittelbar entschuldigt...

  • Hallo Jörg,


    ich vermute, dass Stefan Mehler zunächst damit beschäftigt war zu prüfen, ob er nach §42a BDSG die Betroffenen zu informieren habe. In den betroffenen Rechnungen sind aber keine sensiblen Daten enthalten. Anders wäre es nach dem 25. Mai 2018 gewesen.


    Nach Art. 33 DSGVO würde hier ein meldepflichtiger (Anzeige bei zuständiger Aufsichtsbehörde / Landesbeauftragter für Datenschutz) und benachrichtigungspflichtiger (Information der Betroffenen) vorliegen. Im Rahmen der Meldung werden dann auch eine Folgeabschätzung und eine Beschreibung der durch den Verantwortlichen ergriffenen Maßnahmen verlangt.


    Ich würde Herrn M-xxxx im Übrigen vorschlagen, dass nach Entfernung der Rechnungen aus dem Google-Cache alle Beiträge in diesem Thread dahingehend überarbeitet werden, dass jegliche Verlinkungen auf die Problematik entfernt werden. Weiterhin sollte Herr M-xxxx seinen Benutzernamen für das Forum ändern. Da dieses Forum eine öffentliche Plattform ist, wird es ebenfalls durch Google gecrawlt. Es wäre nun äußerst unschön, wenn die Leute im Sh-xxxx von Herrn M-xxxx nicht mehr einkaufen, weil er den Datenschutz nicht einhält. Den entsprechenden Indexeintrag konnte ich über die GSC nicht löschen, da die Seite noch existiert. Wenn alle Links entfernt sind, kann aber zumindest der Indexeintrag entsprechend aktualisiert werden.

  • Hallo,


    wir kommen vom Thema ab. Wir haben das potentielle Problem erkannt und für 14.3 bereits einen Schutz eingebaut.

  • Bei der Suche nach der Ursache dafür, dass die URLs in den Google Index gerutscht sind, ist uns aufgefallen, dass auf dem betroffenen Server beim ansteuern beliebiger Verzeichnisse vom Provider immer eine index-Datei generiert wird, welche per JavaScript eine Sedoparking Seite anzeigt. Um auszuschließen, dass dieses Skript der Verursacher des Datenleaks ist, sollte diese Funktionalität unbedingt deaktiviert werden. Wie man das macht weiß ich nicht, 1&1 sollte Ihnen das aber erläutern können.


    Beispiel-Link: https://www.regacell-shop.de/assets/php/

    (falls nur eine Leere Seite dargestellt wird, bitte Quelltext beachten)