Funke-Gewinnspielportal: 85.000 Nutzerdatensätze offen im Netz

Niete
Für eine winzige Gewinnchance teilen Gewinnspielteilnehmer teils sensible persönliche Daten mit. (Quelle: IMAGO / Shotshop)

Gewinnspiele haben in den meisten Fällen einen einzigen Zweck: Das Sammeln von Teilnehmerdaten für Werbezwecke. So tippten auch bei einem Online-Gewinnspiel der Funke Mediengruppe über 85.000 Teilnehmerinnen und Teilnehmer Namen, Anschrift und E-Mail-Adresse ein. Weil die Webseite aber schlampig programmiert war, standen diese Daten anschließend öffentlich zugänglich im Netz. Wer die richtige Internetadresse ansteuerte, konnte alle Informationen einfach abfischen.

Denn für jeden Teilnehmer wurde eine eigene Identifikationsnummer und eine Webadresse für eine Prämienaktion generiert. Wie das Computermagazin c’t berichtet, bestanden diese Identifikationsnummern aus natürlichen Zahlen, waren fortlaufend und entsprechend leicht zu erraten. Tippte man die Webadresse der Gewinnspielseite sowie die Identifikationsnummer in die Adressleiste des Browsers ein, zeigte die Seite ohne weitere Prüfung die persönlichen Daten des jeweiligen Gewinnspielteilnehmers an. Einige hatten freiwillig sogar Geburtsdatum und Telefonnummer angeben.

Daten für Gewinn-Chance

Das Gewinnspiel fand auf der Webseite funke.fun statt, einem Gewinnspielportal für Magazine wie Hörzu, TV Digital oder Donna. Sie wird von der Funke Digital GmbH betrieben, die wiederum zu dem Medienkonzern Funke Mediengruppe gehört. Das Datenleck entstand erst nach der Teilnahme am Gewinnspiel: Denn als Dankeschön für ihre Daten wurden den Nutzern Prämien angeboten – wie Zeitschriftenprobeabos oder eine Kreditkarte mit Startguthaben.

Das System zur Prämienvergabe organisierte nicht Funke, sondern der Dienstleister Sovendus GmbH. Dessen Software war in die Gewinnspielseite eingebettet. So konnte das Formular zur Prämienbestellung automatisch vorausgefüllt werden mit den persönlichen Informationen, die die Teilnehmer für das Gewinnspiel eingegeben hatten. Laut c’t lag der Fehler aber auf Seiten der Funke Mediengruppe – und nicht beim Dienstleister Sovendus. Die individuelle Webadresse, die für die Prämienaktion generiert wurde, sah laut c’t beispielsweise so aus:

https://www.funke.fun/gewinnspiele/hoerzu/danke-29/4444001

Bei dem letzten Teil der Adresse handelt es sich um den individuellen Zahlen-Code. Um an die Daten eines Teilnehmers zu gelangen, musste man nur eine dieser durchnummerierten Adressen in den Browser eingeben.

Goldgrube für Adresshändler

Wie die c’t herausfand, nutzte die Seite Zahlen zwischen 3.000.002 und 4.451.700. Bei einer Stichprobe mit 100 Zahlen, waren die Redakteure jedes Mal fündig und bekamen fremde Daten angezeigt.

Insgesamt seien 1,45 Millionen Datensätze vorhanden und abrufbar gewesen. Die Funke Mediengruppe bestätigte diese Zahl gegenüber der Zeitschrift. Allerdings hätten sich viele Doppelungen darunter befunden, da Nutzer mehrfach teilgenommen hatten. So seien letztendlich 85.664 einzelne Personen registriert mit durchschnittlich 15 Teilnahmen. Außerdem fänden sich rund 1200 Einträge von automatischen Bots.

Laut c’t sei auch eine automatische Abfrage der Daten einfach zu realisieren gewesen. Beispielsweise hätten Adresshändler oder Betrüger diese Möglichkeit nutzen können. Ein Skript, dass die persönlichen Daten aus dem HTML-Code der Seite kopiert, “wäre schnell programmiert” laut Redaktion.

Um zu untersuchen, ob die offengelegten Nutzerdaten tatsächlich automatisiert in Masse ausgelesen wurden, hat Funke eine IT-Sicherheitsfirma beauftragt. Laut Unternehmenssprecherin gäbe es aber keine Hinweise darauf.

Datenschutzbeauftragter informiert

Die Redakteure informierten nach dem Fund den Datenschutzbeauftragten der Funke Mediengruppe. Eine Sprecherin gab daraufhin zu, dass es sich um eine fehlerhafte Programmierung gehandelt habe. Die URLs waren bereits kurz nach der Kontaktaufnahme nicht mehr zu erreichen.

Da es sich nach DSGVO bei dem Vorfall um einen meldepflichtigen Datenschutzverstoß handelt, informierte Funke die zuständige Landesdatenschutzbeauftragte. Alle betroffenen Teilnehmer sollen informiert werden. (hcz)