Anscheinend ist heute morgen an viele Olympus-Kunden ein Newsletter rausgegangen, der Schadcode enthält. Es geht dabei um Nutzungsbedingungen von Oktober 2019 (!).
Ich habe den Newsletter nicht bekommen, weil mein Mailserver den Virus erkannt hat und den Newsletter abweist. (Paranoia ist gerechtfertigt!)
Es ist noch nicht klar, ob es sich hier um ein Datenleck bei Olympus handelt. Wenn, dann ist die MyOlympus-Datenbank gehackt worden. Also die, in der die Registrierungen der Hardware liegen. Nach meinen Infos dürfte der Hack etwa zwei Wochen her sein. Bisher gab’s da nur erhöhtes Spamaufkommen, aber nun scheinen die bösen Jungs die Adressen in die Finger bekommen haben.
Also! Vorsicht walten lassen!
Ich bin mit Olympus in Kontakt und hoffe, dass das Problem geklärt werden kann.
Heute morgen war Olympus über einige Zeit nicht erreichbar, die Haupt-Telefonnummer war auf ein „Cisco Unity Connection Messaging System“ umgeleitet – also ein unkonfiguriertes Voice-Mail System.
UPDATE
Es sieht so aus, dass Olympus offensichtlich einfach nur Mist rausgeschickt hat. Es war also kein Hack.
Die Datenschutzerklärung ist allerdings echt krass. Man ermächtigt damit zum Beispiel OMDS, bei allen Geschäftsvorgängen eine SCHUFA-Auskunft einzuholen. Auch wenn z.B. mit Paypal Vorkasse geleistet wird. Die Erklärung ist zudem fehlerhaft.
Das weckt im Augenblick kein Vertrauen in die neuen Besen.
Zitat:
Bitte beachten Sie, dass unsere Newsletter sogenannte Web-Beacons bzw. Tracking-Pixel enthalten, d. h. in unsere Webseite eingebettete, extrem kleine Bilddateien, die eine Logdatei-Aufzeichnung sowie eine Logdatei-Analyse erlauben. Zur Auswertung verknüpfen wir diese Dateien und die technischen Daten, die wir beim Besuch unserer Webseiten erfassen, mit Ihrer E-Mail-Adresse und einer individuellen ID. Die Links im Newsletter enthalten ebenfalls diese ID. So können wir sehen, ob und wann Sie eine E-Mail öffnen und welche Links der E-Mail Sie aufrufen. Wir können diese Daten mit Aktivitäten verknüpfen, die Sie auf unseren Webseiten durchführen. Diese Daten werden von uns gespeichert und ausgewertet, wobei Nutzerprofile erstellt werden.
Geil. Wollte ich schon immer haben. Und natürlich werden die Daten international an alle OMDS-Firmen verteilt. Der Stand der Datenschutzerklärung ist der 1.1.2021. The future is here!
Update2:
Die Fehlermeldung des Mailservers war „B-URL“. Also eine verdächtige URL, über die sich Benutzer beschwert hätten. Das kann ziemlich viel sein, unter anderem eben Schadcode. Da eventuell Gefahr im Verzuge war – bei Olympus war niemand erreichbar, und trotz Zusage haben die auf meine Anfragen bis jetzt nicht reagiert, ich habe lediglich Info von der Agentur erhalten – musste ich zuerst eine Warnung aussprechen.
Unabhängig davon ist das Vorgehen, von seinen Kunden zu verlangen, unfertigen, fehlerhaften Dokumenten zuzustimmen, zu denen es noch nicht mal einen exakt bezeichneten Vertragspartner mit ladungsfähiger Anschrift gibt, mit einziger Kontaktmöglichkeit über eine Mailadresse, bei der die zuständige Domain nicht erreichbar ist – naja, ich würde sagen, seriös geht anders.
Ich hoffe sehr, dass das nicht die Zukunft der Kundenkommunikation von OMDS ist….
Danke, die Betreffzeile spricht für mich schon Bände genug („Registration“). Habe die Mails sogar zweimal bekommen. Habe diese auch gleich gelöscht, Paranoia ist sicher 😉
Bei mir genauso!
Ich hab die Mail auch zweimal erhalten. Sah alles perfekt aus auch das Impressum. Ich bin aber über das Datum Oktober 2019 gestolpert und hab’s gelöscht.
Danke für die Information.
Dann wurde also Olympus gehackt und die haben kein Bock die Betroffenen zu informieren? Ich wette die haben auch nicht den Landesdatenschutzbeauftragten informiert. Dazu sind die verpflichtet. Klasse Firma.
Wie oben bereits gemeldet: Es war KEIN Hack, sondern einfach nur Schlamperei.
das ist aber auch nicht unbedingt beruhigend.
Wenn mir ein Unternehmen in einer E-Mail einen Link sendet, wo ich irgendwas bestätigen/ akzeptieren soll ist das aber schon eine fragwürdige Methode, wenn ich das nicht selbst durch eine Aktion (Kauf, Passwort rücksetzen) angestoßen habe. Können die das nicht wie allgemein üblich beim Log-in bei ihren Webseiten abfragen? Die Kunden werden doch in Schulungen bei ihren Arbeitgebern darauf trainiert, sowas strikt zu unterlassen.
Das kommt drauf an, wie die “Nutzung” gemeint ist. Wenn OMDS Dir gerne weiter Mail schicken möchte, dann müssen sie sich in periodischen Abständen rückversichern, dass Du die Mails noch willst. Eine Mail mit einem Opt-In-Link ist da eine ganz probate Methode, da man sich nicht darauf verlassen kann, dass Mail-Empfänger:innen von sich aus auf die Webseite gehen und dort gefragt werden können. Die Alternative ist, das nie zu machen und dann irgendwann von irgendeiner cleveren Person wegen “Spam-Versands” abgemahnt zu werden, denn man kann als Versender-Firma auch nicht davon ausgehen, dass eine einmal erteilte Zustimmung von Kund:inn:en für Neuigkeiten per Mail bis in alle Ewigkeit gültig bleibt. Das gilt insbesondere für Mail-Verteiler mit relativ geringem Volumen, wo Leute vergessen könnten, dass sie ihn mal abonniert hatten.
Was nicht heißt, dass man das nicht geschickter händeln könnte. Aber Fehler passieren, und bevor wegen dieser Mail jetzt Panik oder Aufruhr geschürt wird, sollte man OMDS bzw. deren PR-Agentur (oder wer auch immer diese Mails verschickt) gegenüber mal ein paar Hühneraugen zudrücken. Die haben im Moment höchstwahrscheinlich eine Menge Stress.
Das mit der SCHUFA würde ich auch nicht überbewerten. Die wesentliche Frage für Olympus/OMDS ist hier, ob man im Shop “Kauf auf Rechnung” und “Kauf auf Raten” angeboten bekommen soll, und da wird eine Heuristik eingesetzt (etwa ob man laut angegebener Adresse im Villenviertel wohnt oder im sozialen Brennpunkt). Man kann das gut finden oder nicht, aber das macht so ungefähr jeder andere größere Online-Händler auch. Da es im Olympus/OMDS-Shop nicht um Pfennigartikel geht, sondern um Waren, die typischerweise ein paar hundert bis Tausende Euro kosten, ist es eventuell auch irgendwo zu verstehen, dass die nicht an irgendwen gegen offene Rechnung geliefert werden sollen.
Was die “Zählpixel” angeht: Anständige Mailprogramme laden externe Inhalte (Bilder usw.) nicht ohne ausdrückliche Aufforderung, und dazu gehören auch die Zählpixel. Man hat es also in der Hand, ob diese tatsächlich Daten mit OMDS teilen oder nicht. Dass Organisationen, die E-Mail-Marketing anwenden, sich dafür interessieren, ob die Mails überhaupt gelesen werden, sollte niemanden überraschen. Ob das nun über einen “Zählpixel” passiert oder darüber, dass das Firmenlogo in der Mail über einen URL eingebunden wird, in dem die Benutzeridentität codiert ist, macht keinen riesigen Unterschied. Erstere kann man ggf. noch eher blockieren, wenn sie einen stören.
Soweit ich es überblicke, versucht OMDS hier schon, im Großen und Ganzen alles richtig zu machen (womit ich nicht behaupten will, dass es ihnen zu 100% gelingt). Die Datenschutzerklärung ist ziemlich ausführlich und gibt auch an, wie man sich ggf. gegen Zählpixel oder Bonitätsabfragen sträuben kann. OMDS ist eine neue Firma und das heißt, dass sie nicht ohne weiteres den Kundendatenbestand von Olympus weiterbenutzen darf. Von daher ist es IMHO grundsätzlich als positiv zu werten, dass OMDS versucht, die ausdrückliche Zustimmung der Kund:inn:en einzuholen, solange die technisch gesehen noch Olympus-Kund:inn:en sind. Ich persönlich fühle mich jedenfalls bisher nicht schlechter behandelt als von allen möglichen anderen Anbietern von Internet-Diensten auch.
Olympus bietet nichts auf offene Rechnung an. Sogar die Reparaturen müssen Vorkasse bezahlt werden, bevor man überhaupt auch nur das Gerät aus dem Haus schickt. Hier im Fließtext eine Schufa-Abfrage zu verstecken würde ich eine „überraschende Klausel“ nennen. Und damit wäre die ganze Nummer ungültig.
Newsletter mit Zählpixeln zu verschicken und mit den daraus gewonnenen Daten und den IP-Adressen Nutzerprofile zu erstellen widerspricht dem Gebot zur Datensparsamkeit. Die Konstruktion mit dem „berechtigten Interesse“ wird hier mehrfach bemüht, um überhaupt sowas wie eine Rechtfertigung zu haben.
Und – sorry – wenn ich bei meinem Marketing nur die abgreife, die sich nicht wehren und nach deren Daten dann mein Marketing aufbaue, dann ist das unsagbar dumm. Ich kenne sehr viele, die sehr viel Geld bei Olympus gelassen haben – und die LazyHTML vernünftigerweise deaktiviert haben oder den Pflichtnewsletter (!) komplett in den Spam umleiten. Diese Kunden werden durch jeden neuen Newsletter, der nur aus grauen Kästen besteht, aufs Neue verärgert. Und es sollte jemand, der von seinen Kunden vier- und fünfstellige Summen haben will, etwas anders agieren, als ein Internet-Dienstleister, der seine Dienste ausschließlich mit Kundendaten bezahlen lässt.
So eine Schlamperei sollte bei einer Weltfirma nicht passieren, hab den Mist auch zweimal bekommen.
Schöne Feiertage und bleibt gesund
Dieter
Heute habe ich eine Fake-Mail von Olympus erhalten, mit dem Wort „Subjekt“ in der Betreffzeile. In der Mail wird ein „Rental“ bestätigt – dort, wo die MIetsachen etc. stehen sollten, steht aber nichts. Ich habe auch nichts gemietet.
Die Antwortadresse ist ein x-stelliger unsinniger Code ät Olumpus, die Mail hat verschiedene Links, die man anklicken könnte, was ich natürlich nicht getan habe.
Ich habe auch diese Rental-Fake-Mail erhalten, natürlich auch noch alles in englisch.
Ich habe natürlich keinen „Rental request“ gestellt.
Die Mail wandert in den SPAM-Ordner.
Betreff: Subject
Overview of your Rental request
Product/s: 20150912154524
Activation date:
Expiration date: 2019_ODE_OlyForum,Bonus promotion,Olympus Summer promotion 2020,Terms of Use,TouchandTry Experience