Hey A1, ich lass mich nicht gern für dumm verkaufen

Vor einigen Tagen hat A1 die Möglichkeit zur Verfügung gestellt sich online für die Beta-Phase ihres demnächst startenden Streaming-Dienstes “A1 NOW” zu registrieren. Als geneigter Ich-muss-einfach-jeden-Scheiß-ausprobieren-auch-wenn-ich-schon-weiß-dass-er-scheiße-sein-wird-Mensch (auch unter dem Synonym Early-Adopter bekannt) hab mich natürlich dann sofort dort angemeldet, indem ich ein paar komische Fragen beantwortet habe und E-Mail-Adresse und Passwort für den Beta-Account festgelegt habe. Wenig später landet eine Mail mit mit dem Passwort in Klartext in meinem E-Mail-Posteingang. Alle die jetzt “Oida…” oder “Oha…” (“Scheiße” und “solche Oarschlöcher” ist auch erlaubt) gestöhnt haben dürfen den nächsten Absatz überspringen.

Warum ist das so problematisch? Nun wenn ich eine E-Mail mit einem Passwort in Klartext erhalte ist es sehr wahrscheinlich, dass das Passwort auch in Klartext in der Datenbank von A1 liegt. Abgesehen davon, dass ich meine Passwörter nicht in meinem E-Mail-Konto liegen haben mag. Das echte Problem tritt nun ein, wenn unerlaubte Dritte (meist als Hacker bezeichnet, aber ich versuche den Terminus zu vermeiden, da er in den meisten Fällen sehr fragwürdig benutzt wird) Zugriff auf die Datenbank bekommen. Das ist kein mega unwahrscheinliches Szenario, IT-Systeme sind nunmal nicht 100% sicher. Überall können sich Bugs einschleichen, das ist so. Und ich muss zugeben, dass A1 jetzt nicht jene Firma ist, der ich unbedingt super sensible Daten anvertrauen würde. Im Normalfall werden Passwörter gehasht in einer Datenbank gespeichert. Aus diesem Hash kann man nicht (ohne einen größeren Zeitaufwand) einfach wieder das ursprüngliche Passwort berechnen (hierbei kommen mathematische Einwegfunktionen zum Einsatz). Wenn die Passwörter aber nun in Klartext gespeichert sind, ist es überhaupt kein Problem - wenn der User das Passwort auch noch bei anderen Services verwendet (was - Hand aufs Herz - die Meisten tun) - für den Hacker diese anderen Accounts auch noch zu übernehmen. Puh ich hoffe das ist verständlich (und sollte das ein ITler gelesen haben: Sorry für die Vereinfachungen).

Ich also ein bisschen sauer öffne meinen Twitter-Client (ja ok das ist gelogen - er war schon offen) und schicke einen Tweet an A1:

Hey @A1Telekom wir haben 2015, hört endlich auf Passwörter in Klartext zu speichern und zu versenden!!!

— onatcer (@onatcer) 3. August 2015

Einige Nachrichten später bekam ich die erwartete Antwort:

@onatcer gebe dein Feedback gerne weiter. lg H

— A1 Telekom Austria (@A1Telekom) 3. August 2015

Die von mir nochmal aufgrund der Dreistheit dies ein Feedback zu nennen, mehr oder minder unfreundlich korrigiert wurde:

.@A1Telekom das ist mehr eine Beschwerde als eine Kritik. Wie kann man nur so verantwortungslos mit den Daten von Kunden umgehen!?

— onatcer (@onatcer) 3. August 2015

Auf die heute erneute Nachfrage nach einer Rückmeldung kam dann diese Antwort:

https://a1telekom.response.lithium.com/portal/conversation/4634417
(ihr müsst auf View All Replies drücken sonst sehr ihr die Rückmeldung nicht... don't even ask...)

Da musste ich dann kurz schlucken und ich hab mich auch ehrlich gesagt etwas verarscht gefühlt. Vollkommen am Problem vorbeiargumentiert und keine Anzeichen, dass man etwas verbessern will.

Auf der Seite sieht man dann auch meine 6-tweetige-Rückmeldung.

Es steht euch natürlich frei euch falls es euch ein Anliegen ist auch bei den entsprechenden Social Media Accounts zu beschweren.
Twitter: https://twitter.com/A1Telekom/
Facebook: https://www.facebook.com/A1Fanpage?fref=ts

To be continued….

Onatcer
Onatcer

20, Mensch des Planeten Erde, amateur photographer, blogger, @soulbottles volunteer
Follow me on Twitter: @onatcer