Radiogewinnspiel: Einmal dabei, immer gespeichert

Heise hat ein Sicherheitsleck bei den Internetseiten von BCS Broadcast Sachsen GmbH & Co gefunden. Unter den betroffenen Radiosendern ist auch Hitradio-RTL. Heise konnte auf Gewinnspieldaten (Namen, Adressen, E-Mails und IP-Adressen) zugreifen. Interessant ist da besonders:

In den Datenschutzbestimmungen von Hitradio-RTL wird zwar darauf hingewiesen, dass „Browserversion, verwendetes Betriebssystem, Referrer URL (zuvor besuchte Seite), Hostname des zugreifenden Rechners (IP- Adresse) und die Uhrzeit der Serveranfrage“ gespeichert werden. Allerdings steht dort auch: „Die Daten werden mit dem Ende des jeweiligen Nutzungsvorgangs gelöscht.“ Im vorliegenden Falle waren die Datensätze aber teilweise 2 Jahre alt – der Nutzungsvorgang, also das Gewinnspiel, sollte also eigentlich abgeschlossen sein.

Erinnert euch an die Geschichte, wenn ihr demnächst bei einem Radiogewinnspiel, insbesondere im Privatradio, mitmachen wollt.

Ach, und die Sicherheitslücke war, weil die bei einem Serverwechsel vergessen hatten die .htaccess-Dateien zu aktualisieren. Sehr achtsame Arbeit… :-)