Netzclub: Werbeprofil ist für jeden zugänglich, verrät Telefonnummern und Werbeeinstellungen
Solltet ihr bei Netzclub sein, dann könnte es sein, dass Unbekannte etwas über euch herausfinden. Netzclub ist ein unter anderem kostenloses Angebot von Telefónica, bei dem man zum Beispiel Surf-Volumen bekommt, wenn man im Gegenzug bereit ist, Werbe-SMS zu empfangen.
Unser Leser Patrick hat uns auf eine simple Möglichkeit hingewiesen, wie man sich bei Netzclub im Werbeprofil einloggen kann, hierfür reicht es, die Rufnummer oder die Mail-Adresse eines Kunden zu kennen. Allerdings gibt das fehlerhafte Login nicht alle Daten des Nutzers Preis, es kann allerdings auf die Werbeeinstellungen zugegriffen werden, ferner sehen wir die persönlichen Angaben des Nutzers, die bei Netzclub hinterlegt wurden.
Neben den Daten kann der Zugreifende auch noch beliebige Nutzer bei Netzclub Local anmelden. Hier werden Daten an Telefónica Germany übermittelt, damit ein Nutzer auf Basis eines Standortes Werbung erhalten kann. Die Lücke wurde durch unseren Leser Patrick bereits Ende Juni mit Hinweis auf Veröffentlichung an Netzclub gemeldet, eine ein paar Tage später erfolgte Antwort sprach davon, dass man „es der Fachabteilung weitergeleitet habe“.
Update, 04.08.2014: Netzclub hat nach diesem Blogpost die betreffende Seite dahingehend aktualisiert, sodass kein Login nach der von uns vorliegenden Methode möglich ist. Interessant ist Tatsache, dass man einen Kunden missachtet, der auf einen Fehler hinweist. Stattdessen musste ein Blog in die Bresche springen, damit man sich des Problems bei Netzclub annimmt. Ein Armutszeugnis.
Kann ich nicht bestätigen. Der Fehler wurde anscheinend schon behoben.
@Thorsten: Schick mir mal via Kontaktformular deine Mail-Adresse, ich zeige dir, dass es noch geht 😉
@ caschy: Ich habe es bereits mehrmals versucht mit Email und mit Nummer und ich kam nicht rein. Jetzt steht da, dass ichs zu oft versucht habe und muss jetzt wohl paar Minuten warten. Vielleicht tritt diese Fehler nur bei einigen auf.
Bei Netzclub scheint man es allgemein nicht so mit der Sicherheit zu haben: Passwörter dürfen nur wenige Zeichen lang sein und keine Sonderzeichen enthalten. Das lässt auf mangelnde Hashfunktionen oder Unwissen („haha SQL injection“) schließen. Eine entsprechende Beschwerdemail von mir vor einigen Jahren deswegen endete damit, dass man mir 5€ Guthaben gutschrieb, gemeldet hat sich niemand mehr…
@Thorsten: vielleicht gehst du nicht den richtigen Weg – den wir nicht absichtlich nicht beschrieben haben. Angebot steht – schick mir was über das Kontaktformular.
Das war so ein K(r)ampf bei Netzclub mein Kundenprofil löschen zu lassen und vor allem dafür zu sorgen keine Werbemails mehr zu bekommen. Mehrmalige Kontaktaufnahme und immer nur Textbausteine. Für mich stand die Leistung nicht im Verhältnis zur „Belästigung“. Daraus gelernt nicht für ein paar Gratis MB alle Daten herzugeben.
Der Bericht deckt sich mit meinen Erfahrungen!
@ chaschy: Oha.. jetzt habe ich den „richtigen Weg“ gefunden. Jo, stimmt.
Bekomme so gut wie keine SMS Werbung, wehsalb ich die erst gar nicht mit einem Programm blocke …. das mit EMails stimmt man kann die Adresse zwar ändern, aber es wird trotzdem an die alte geschickt …. bin sonst aber ziemlich zufirden, da ich dank whatsapp und netzclub so gut wie keine kosten mehr habe.
Ohne Passwort einloggen?!?
@caschy Hast du O2 bzw Telefonica mal kontaktiert? oder nur Patrick
Ich habe netzclub per Kontaktformular über den Fehler informiert und auf diesen Artikel verwiesen. Mal schauen was die sagen.
Auch wenn ich nicht anmeldet bin bei dem Verein ist bestimmt nach dem persönlichen Login einfach in der URL in Klartext Email und Telefonnummer hinterlegt die man wohl einfach austauschen kann
Ich bin gerade selbst zu blöd um die Seite auf dem Screenshot zu finden (bei eigenem Profil mit korrektem Login), wo ist die versteckt?^^
@Pascal: Vollkommen korrekt. Das Formular zur Passwort-Änderung war sogar zeitweise über Monate defekt.
so einen trivialen fehler gab es schon lange nicht mehr…
Oh. Das geht ja wirklich extrem einfach. Wie kann einem denn bitte sowas bei der Erstellung einer kommerziellen Internetseite passieren?
Das ist wirklich haarsträubend …
Wenn sich da nix tut bitte auch mal bei Datenschutzbeauftragten od. Regulierungsbehörde melden Patrick oder Caschy
Was bei Netzclub noch viel interessanter ist, ist die Tatsache, dass die zur Identifikation nicht etwa das Geburtsdatum oder dergleichen nehmen, sondern die ersten drei Stellen des Kennworts – in Klartext. Ich bin fast vom Glauben abgefallen, als die mich das an der Supporthotline ernsthaft gefragt hat.
@Marc WTF, unverschlüsselte Passwörter, auf die jeder Hans-Wurst Zugriff drauf hat. Das geht ja mal gar nicht. Da muss man sich beschweren.
@Jens Was für Daten sammelt Netzclub? Erheben die irgendwelche Bewegungs-/Surf-/Telefnieprofile von mir? Bankkonto, Name und Adresse will ja vermutlich jeder Anbieter haben bzw. braucht er auch für das Zusenden.
Worüber sprechen wir hier in Bezug auf persönliche Angaben? Welche Daten können dort eingesehen werden?