angeblich wurden Kundendaten gestohlen

[0815]

Moin,

von einem Kunden erhielt ich folgende Mail:

Hallo,
ich erhielt Schadsoftware an eine meiner Email-Adressen, welche nur Ihnen zugeordnet ist.
Ihre Kundendaten (oder zumindest die Mail-Adressen) haben sicher ohne Ihr Wissen ihr Haus verlassen oder wurden verkauft.
Ich möchte Sie darauf hinweisen, daß sie verpflichtet sind, Ihre Kunden darüber zu informieren.
...

Wie geht man denn da weiter vor?

Die Serve, sowie alle lokalen PCs sind immer up to date, alle Passwörter sind hochverschlüsselt und im Shop sind auch alle bekannten Sicherheitslücken geschlossen.
Alle Mailkonten liegen auf einem separaten Server.

Linkback: https://www.modified-shop.org/forum/index.php?topic=36899.0

[hendrik]

Die Aussage kann stimmen, muß aber nicht. Gibt auch Leute die benutzen die Mailadresse doch woanders.

Probier doch aus. Leg dir ne neue Mailadresse an die man nicht erraten kann (nicht info@ od. kontakt@) registeriere damit ein neues Shopkonto und mach ne Scheinbestellung. Und warte ob auf dieser Adresse Junk aufschlägt.

mfg
hen

[0815]

Mir stellt sich momentan vorrangig die Frage, was ich dem Kunden antworte soll.

[hendrik]

Schönen Dank, daß du seine Warnung sehr ernst nimmst und Maßnahmen zur Prüfung einleitest.

Der o.g. Primitvtest ist deine Maßnahme. Aber das geht den Kunden nichts an.

[0815]

Erledigt.

Jetzt hier nur rumsitzen und abwarten, ob ich über die Mailadresse irgendwann Spam erhalte, kann aber doch auch nicht die Lösung sein.

Das betroffene Kundenkonto mit der Mailadresse, über die der Kunde angeblich Spam erhalten hat, ist übrigens sehr alt.

[awids]

Muss nicht zwangsläufig auf dich zurück zu führen sein. Es gibt auch sich selbst installierende Browser-Plugins (Schadsoftware), welche bei dem Online-Einkauf bei dir die E-Mail-Adresse abgreifen können. Die werden immer gerissener.

Also antworte dem Kunden, dass du die Sache eingehend prüfen wirst, weise ihn aber auch darauf hin, dass sein Browser kontaminiert sein könnte und er dahingehend eigene Überprüfungen übernehmen müsste, um es auszuschließen.

[0815]

Die Angelegenheit ist schwer nachvollziehbar, weil die Erstellung des Kundenkontos, sowie die letzte Bestellung des Kunden rund 10. (!) Jahre zurückliegt.

Gemessen an der Gesamtzahl aller Kundenkonten im Webshop, hätten sich m. E. auch mehr als nur ein Kunde bei uns melden müssen, wenn hier ein Problem auf unser Seite vorliegen würde.
In der Datenbank stehen auch sehr viele andere Mailadressen, die unseren Shopnamen vor dem @ stehen haben.

[awids]

So oder so, der Vorfall muss zunächst einmal reproduziert werden, um die Ursache und damit auch den Verantwortlichen/Haftenden zu ermitteln. Mit dem hin und her schieben der Schuldfrage ist niemanden geholfen. Und sofern der Kunde auf Schadensersatz o. ä. besteht, führt der beste Weg über einen Juristen und nicht über das Forum hier. Verbindliche Rechtsberatung kann man hier nämlich nicht erwarten.

[0815]

Rechtsberatung, Schadenersatz ...?

Davon war doch gar keine Rede.

Darüber hinaus, wie willst Du den Vorgang reproduzieren? Die Nummer mit der neu angelegten Mailadresse ist doch dafür mit Sicherheit untauglich.
Wann und wie ein Spam-Versender innerhalb der letzten 10 Jahre an die Mailadresse des Kunden gelangt ist, kann man heute mit Sicherheit nicht mehr zweifelsfrei nachstellen.

[awids]

Darum ja auch "sofern". Im besten Fall kommt es nicht dazu.

Ändert nichts daran, dass du prüfen musst, ob dein Shop wirklich dafür verantwortlich ist. In diesem Fall - so schreibt es nämlich schon dein Kunde - bist du zur Information verpflichtet, ebenso zum Beheben der offensichtlichen Sicherheitslücke.

[Igotcha]

Bleib mal ganz entspannt, aktuell handelt es sich ausschließlich um eine Behauptung Deines Kunden.

Er behauptet, dass die Mailadresse ausschließlich für Deinen Shop genutzt wurde und er behauptet, dass er Malware von Dir erhalten hat - beides kann von Dir nicht entkräftigt werden, wie auch?

Wenn Du überhaupt darauf eingehen möchtest, dann lass Dir doch mal den Quelltext der Mail zukommen, wo man die Headerinformationen sehen kann. Dann kannst Du für Dich zumindest feststellen, ob Die Mail von Deinem (evtl. kompromittierten) System stammt.

Und auch falls Kundendaten von Deinem System gestohlen wurden, das kannst Du selbst fast gar nicht prüfen.

[Tomcraft]

Die Angelegenheit ist schwer nachvollziehbar, weil die Erstellung des Kundenkontos, sowie die letzte Bestellung des Kunden rund 10. (!) Jahre zurückliegt.
[...]

Ich finde da kann man auch auch mal in Frage stellen, ob der Kunde dieser E-Mail Adresse nicht doch noch woanders benutzt hat oder wie von |Alex| geschildert.

Muss nicht zwangsläufig auf dich zurück zu führen sein. Es gibt auch sich selbst installierende Browser-Plugins (Schadsoftware), welche bei dem Online-Einkauf bei dir die E-Mail-Adresse abgreifen können. Die werden immer gerissener.
[...]

Dann gibt es auch noch die Möglichkeit, dass der Hack damals unter einer alten Shopversion bereits stattgefunden hat. Es gab ja vor 10 Jahren schon so ein paar veröffentlichte und dokumentierte Lücken.

Grüße

Torsten

[nicson]

So wie es für mich klingt müsste der KD lt. Gesetzeslage (mein Auffassen) zunächst glaubhaft und nachvollziehbar nachweisen dass die Mail Adresse tatsächlich NUR deinem Shop bekannt war. Das scheint mir eigentlich fast unmöglich da er hierzu auch nachweisen müsste dass keine handschriftliche oder andere Notiz der Mailadresse "anderen" zugänglich war. Es könnte ja theoretisch der "böse Nachbar" durchs Fenster eine Notiz mit der Mailadresse gesehen haben und diese dann verwendet haben.

Ich würde dem Kunden schreiben dass der Sache ernsthaft nachgegangen wird, bisher er jedoch der einzige Kunde von "XXX" Kunden ist der einen solchen Vorfall gemeldet hat. Dir keine Einbrüche bekannt wären und du mit Sicherheit auch keine Kundendaten anderen zugänglich gemacht hast.

Wie Igotcha schreibt wäre es natürlich gut wenn du ausschließen könntest dass die Mail von deinem Server kam? Entweder mittels Mail Header oder Datum & Uhrzeit der Mail und das mit dem log deines Mailservers vergleichen.

[online-beobachter]

Wenn ein Kunde so eine "Besondere" eMail-Adresse nur für einen Shop angelegt hat, ist es doch aber auch denkbar das dieser wenn er die Bestätigungsmail des Shops in seinem PC-eMail-Programm empfangen hat.

Folgerichtig könnte ein Trojaner auf seinem PC dann doch alle eMail-Adressen die auf der Festplatte gefunden werden auslesen - oder irre ich mich da?

[0815]

Moin,

der Mailheader liegt mittlerweile vor.

Die Mail kam über GMX, sowie diverse Umleitungen über andere Mailserver.
Die ganze Geschichte wurde in eine angebliche Abmahnung verpackt und als letzter Absender wird wohl deshalb auch eine Mailadresse einer auf IT-Recht spezialisierten Kanzlei angezeigt.