Ich bin seit einigen Monaten beim Shopping-Club brands4friends angemeldet, einem an sich wirklich nicht schlechten Angebot. Seit einiger Zeit hat das Unternehmen aber begonnen, etwas aggressiver ins E-Mail-Marketing zu gehen und mich folglich mit Mails beglückt, die ich nicht mehr haben wollte.
Also habe ich mir vorhin den neuesten Newsletter genommen, wie gewohnt runtergescrollt und anschließend auf "abmelden" geklickt. Was dann geschah, konnte ich nicht glauben.
Denn der Link führte mich nicht etwa zu einer Abmeldungs-Bestätigung oder, wenn auch nervig immer noch okay, einem Login-Formular, hinter dem ich dann die Abmeldung hätte durchführen können. Nein, ich fand ein Formular mit meinem Namen, meinem Geburtsdatum und meiner E-Mail-Adresse. Wie kamen diese Daten denn ohne Anmeldung in ein öffentliches Formular!?!?
Und tatsächlich: brands4friends authentifiziert mich nur über den, sicher speziell für meinen Account generierten, Link. Ohne weitere Überprüfung kann also jeder, der Zugriff auf diese E-Mail erhält, im Zweifelsfall sensibelste Daten wie meine Adresse, Geburtsdatum, die History inkl. aller Details meiner bisherigen Bestellungen und vor allem, so ich es denn ausgefüllt hätte, auch mein detailliertes Profil inkl. Angaben zum Modegeschmack, der Haushaltssituation und Konfektionsgrößen einsehen. Wirklich jeder kann das, wenn er nur an den Newsletter kommt.
Dafür muss in diesem Fall noch nicht einmal ein wirklicher Datendiebstahl passieren. Einmal daran gedacht, dass Unternehmen wie dieses nicht zuletzt auf Mund-zu-Mund-Propaganda setzen und Leute natürlich interessante Angebote auch weiterleiten, so z.B. den kompletten Newsletter, inkl. aller Links?
Sorry brands4friends: das ist ein Epic-Fail. Die Konsequenz wird gezogen, mein Account wird gelöscht.
