Domain: Erst denken, dann löschen
erschienen in der Kategorie Webdesign, am 12.07.2015
Ich habe mir in der vergangenen Woche eine Domain registriert, die offenbar erst kurz vorher von jemand anderem aufgegeben wurde. Nachdem ich die DNS-Einstellungen angepasst und einen Catch-All-Mailaccount angelegt hatte, musste ich feststellen, dass ich über die neue Domain ganz schön viele E-Mails erhalte.
Anfangs habe ich die ganzen Nachrichten für Spam gehalten und direkt gelöscht. Doch dann erreichten mich mehrere Mails, in denen immer wieder ein und dieselbe weibliche Person namentlich angesprochen wurde. Die Mitteilungen kamen von zwei Onlinehändlern, von einer bekannten Online-Dating-Plattform und von eBay. Offensichtlich handelte es sich dabei also nicht um Spam- oder Phishing-E-Mails.
Ich harrte noch zwei Tage aus, doch als mich dann auch noch eine eBay-Bestellbestätigung erreichte, aus der ich schließen konnte, dass die besagte Person immer noch aktiv Accounts benutzte, die mit einer für sie nicht mehr zugänglichen E-Mail-Adresse verknüpft sind, beschloss ich zumindest in dieser Sache zu reagieren.
Stattdessen kontaktierte ich also telefonisch den eBay-Support und erreichte eine Servicemitarbeiterin, der ich den ganzen Sachverhalt schilderte. Nachdem sie mir drei Mal bestätigt hatte, dass sie alles verstanden habe, begann ich im Gespräch festzustellen, dass sie in Wirklichkeit nur Bahnhof verstand (aber professionell rüberkommen wollte).
Nachdem sie vier Mal versuchte mich loszuwerden und mir immer wieder mitteilte, dass das ein recht kniffliges Problem sei, bei dem sie mir aber nicht wüsste, wie sie mir helfen könnte, schlug sie mir vor, ich solle doch der Person einfach über die mir anscheinend bekannte E-Mail-Adresse schreiben, um das Problem direkt mit ihr zu klären. (D'oh!)
Ich erklärte ihr also nochmals, dass diese Mail dann bei mir selbst ankommen würde, und diskutierte weiter. Meine Gesprächspartnerin wies immer wieder darauf hin, dass sie mir in dieser Angelegenheit nicht helfen könne, weil sie ja auch keine Daten zu der anderen Person rausgeben dürfe. Das leuchtete mir ein. Da ich aber auch gar keine Adressdaten haben wollte, schlug ich vor, eBay möge die Person doch einfach telefonisch oder per Post darüber informieren, dass sie bitte ihre E-Mail-Adresse ändern soll - die Idee gefiel ihr aber auch nicht. Ich stellte infrage, ob eBay nicht auch selbst ein gewisses Interesse daran habe, die eigenen Kunden über eine gültige E-Mail-Adresse erreichen zu können. Außerdem erklärte ich, dass ich das ja alles nur machte, um der Accountinhaberin zu helfen. (Würde ich mal in so eine Situation geraten, würde ich mich ja auch freuen, wenn ein verantwortungsbewusster Mensch den Karren für mich aus dem Dreck zieht.)
Es half alles nichts, "Ich weiß nicht, wie ich Ihnen da weiterhelfen könnte".
Langsam hatte ich keine Lust mehr mit der Windmühle zu kämpfen und forderte sie dazu auf, mich doch mit ihrem Vorgesetzten zu verbinden, damit ich diesem den Sachverhalt erklären könne - er verfüge ja sicherlich über mehr Handlungsspielraum als sie selbst.
Nachdem sie zwei Minuten lang kommentarlos auf ihrer Tastatur rumgehackte, wurde ich verbunden. Ich kam zwar nicht bei ihrem Vorgesetzten raus, dafür aber in der Sicherheitsabteilung. (Aus meiner Sicht noch viel besser als der Vorgesetzte ...)
Ich erklärte der freundlichen Mitarbeiterin in zwei knappen Sätzen noch einmal die Gesamtsituation. Sie verstand alles sofort, nahm den Sachverhalt auf und übergab ihn der Abteilung, die für die Richtigkeit von Benutzerdaten zuständig ist. (Wenn es so eine Abteilung gibt, warum konnte man mich nicht einfach gleich dahin verbinden?)
Am nächsten Tag erreichte mich noch eine E-Mail, in der ich gebeten wurde, von der von mir übernommenen E-Mail-Adresse aus zurückzuschreiben, um sicherzustellen, dass ich auf diese wirklich zugreifen kann.
Seitdem ist Ruhe, zumindest was die Mails von eBay angeht. Allerdings sieht es für die Accountinhaberin dennoch eher schlecht aus, denn eBay wird ihren Account, soweit ich das erklärt bekommen habe, löschen. Sie kann sich dann neu bei eBay anmelden. Ärgerlich ist das für sie bestimmt dennoch, denn der Account ist über zwölf Jahre alt und hat circa 1.400 positive Bewertungen.
Was man aus dieser Sache lernen kann, ist, dass man, bevor man eine Domain löscht oder auslaufen lässt, die grauen Zellen aktivieren sollte. Macht man das nicht, läuft man Gefahr, dass jemand die Domain registriert und dann Zugriff auf alle eingehenden E-Mails hat. Und das ist nicht nur aus datenschutztechnischer Sicht ein Albtraum!
Ich habe es mit viel Geduld und Nachdruck geschafft, diese eBay-Account-Sache zu klären. Ein weniger freundlicher Zeitgenosse hätte über den Account vielleicht eine Jacht gekauft und sich anschließend noch Zugang zum Facebook-Account verschafft oder Ähnliches. Die Kontrolle über die E-Mail-Adresse einer Person zu bekommen, ist nahezu gleichbedeutend damit, ihre komplette Online-Identität zu übernehmen. (Das gilt zumindest für den Durchschnitts-User, der für alle Zwecke nur eine einzige Mailadresse und im schlimmsten Fall auch nur ein Passwort verwendet.)
Wer sich eine Domain aneignet und diese dann aktiv für seinen E-Mail-Verkehr nutzt, der sollte sich auch seiner Verantwortung bewusst sein. Ansonsten kann das böse enden.
Vielleicht war die Besitzerin des eBay-Accounts selbst die Domaininhaberin, ich weiß es nicht. Es kann auch gut sein, dass sie gar nicht weiß, was eine Domain ist, und auch nichts davon wusste, dass dieselbige gelöscht wurde. Möglicherweise hat die Webadresse früher mal irgendeinem Freund von ihr gehört, der für sie den Mailaccount eingerichtet hat, wer weiß. Aber wer auch immer dahinter steckt, er hat's verbockt.
Mein Schlussappell an alle Web-Administratoren und sonstige Domaininhaber da draußen lautet also:
Passt auf, dass euch nicht mal so etwas passiert. Prüft vor der Löschung einer Domain, ob noch aktive Mailkonten existieren und seit euch generell dessen bewusst, dass es jederzeit passieren kann, dass jemand anderes die gelöschte Domain wieder registriert.
Wenn man sich unsicher ist, ob man wirklich alle Spuren beseitigt hat, kann es sich durchaus lohnen, eine Domain auch noch mal ein Jahr länger zu behalten, um in dieser Zeit ganz sicher zu gehen. Was sind schon 5€ gegen den Schaden, den ein Angreifer anrichten kann, wenn er sensible E-Mails abgreift?
Anfangs habe ich die ganzen Nachrichten für Spam gehalten und direkt gelöscht. Doch dann erreichten mich mehrere Mails, in denen immer wieder ein und dieselbe weibliche Person namentlich angesprochen wurde. Die Mitteilungen kamen von zwei Onlinehändlern, von einer bekannten Online-Dating-Plattform und von eBay. Offensichtlich handelte es sich dabei also nicht um Spam- oder Phishing-E-Mails.
Ich harrte noch zwei Tage aus, doch als mich dann auch noch eine eBay-Bestellbestätigung erreichte, aus der ich schließen konnte, dass die besagte Person immer noch aktiv Accounts benutzte, die mit einer für sie nicht mehr zugänglichen E-Mail-Adresse verknüpft sind, beschloss ich zumindest in dieser Sache zu reagieren.
Die Geschichte vom eBay-Kundensupport
Klar, da ich Zugriff auf die Mailadresse hatte, hätte ich auch einfach auf "Passwort vergessen" klicken können, das Passwort ändern und dann das Konto schließen oder was auch immer. Aber das wäre eine ziemlich gemeine Art und Weise gewesen, mit dem Problem umzugehen. Außerdem wäre das sicherlich auch nicht legal gewesen.Stattdessen kontaktierte ich also telefonisch den eBay-Support und erreichte eine Servicemitarbeiterin, der ich den ganzen Sachverhalt schilderte. Nachdem sie mir drei Mal bestätigt hatte, dass sie alles verstanden habe, begann ich im Gespräch festzustellen, dass sie in Wirklichkeit nur Bahnhof verstand (aber professionell rüberkommen wollte).
Nachdem sie vier Mal versuchte mich loszuwerden und mir immer wieder mitteilte, dass das ein recht kniffliges Problem sei, bei dem sie mir aber nicht wüsste, wie sie mir helfen könnte, schlug sie mir vor, ich solle doch der Person einfach über die mir anscheinend bekannte E-Mail-Adresse schreiben, um das Problem direkt mit ihr zu klären. (D'oh!)
Ich erklärte ihr also nochmals, dass diese Mail dann bei mir selbst ankommen würde, und diskutierte weiter. Meine Gesprächspartnerin wies immer wieder darauf hin, dass sie mir in dieser Angelegenheit nicht helfen könne, weil sie ja auch keine Daten zu der anderen Person rausgeben dürfe. Das leuchtete mir ein. Da ich aber auch gar keine Adressdaten haben wollte, schlug ich vor, eBay möge die Person doch einfach telefonisch oder per Post darüber informieren, dass sie bitte ihre E-Mail-Adresse ändern soll - die Idee gefiel ihr aber auch nicht. Ich stellte infrage, ob eBay nicht auch selbst ein gewisses Interesse daran habe, die eigenen Kunden über eine gültige E-Mail-Adresse erreichen zu können. Außerdem erklärte ich, dass ich das ja alles nur machte, um der Accountinhaberin zu helfen. (Würde ich mal in so eine Situation geraten, würde ich mich ja auch freuen, wenn ein verantwortungsbewusster Mensch den Karren für mich aus dem Dreck zieht.)
Es half alles nichts, "Ich weiß nicht, wie ich Ihnen da weiterhelfen könnte".
Langsam hatte ich keine Lust mehr mit der Windmühle zu kämpfen und forderte sie dazu auf, mich doch mit ihrem Vorgesetzten zu verbinden, damit ich diesem den Sachverhalt erklären könne - er verfüge ja sicherlich über mehr Handlungsspielraum als sie selbst.
Nachdem sie zwei Minuten lang kommentarlos auf ihrer Tastatur rumgehackte, wurde ich verbunden. Ich kam zwar nicht bei ihrem Vorgesetzten raus, dafür aber in der Sicherheitsabteilung. (Aus meiner Sicht noch viel besser als der Vorgesetzte ...)
Ich erklärte der freundlichen Mitarbeiterin in zwei knappen Sätzen noch einmal die Gesamtsituation. Sie verstand alles sofort, nahm den Sachverhalt auf und übergab ihn der Abteilung, die für die Richtigkeit von Benutzerdaten zuständig ist. (Wenn es so eine Abteilung gibt, warum konnte man mich nicht einfach gleich dahin verbinden?)
Am nächsten Tag erreichte mich noch eine E-Mail, in der ich gebeten wurde, von der von mir übernommenen E-Mail-Adresse aus zurückzuschreiben, um sicherzustellen, dass ich auf diese wirklich zugreifen kann.
Seitdem ist Ruhe, zumindest was die Mails von eBay angeht. Allerdings sieht es für die Accountinhaberin dennoch eher schlecht aus, denn eBay wird ihren Account, soweit ich das erklärt bekommen habe, löschen. Sie kann sich dann neu bei eBay anmelden. Ärgerlich ist das für sie bestimmt dennoch, denn der Account ist über zwölf Jahre alt und hat circa 1.400 positive Bewertungen.
Was lernen wir daraus? Erst denken, dann Domains löschen!
Es ist mir trotz verschiedenster Bemühungen nicht gelungen, die Kontaktdaten des früheren Domaininhabers zu ermitteln. Wäre es mir geglückt, hätte ich ihn einfach angerufen und ihm erklärt, dass er bitte überall seine Mailadresse ändern soll. So verliert nun leider jemand seinen echt gut gepflegten eBay-Account.Was man aus dieser Sache lernen kann, ist, dass man, bevor man eine Domain löscht oder auslaufen lässt, die grauen Zellen aktivieren sollte. Macht man das nicht, läuft man Gefahr, dass jemand die Domain registriert und dann Zugriff auf alle eingehenden E-Mails hat. Und das ist nicht nur aus datenschutztechnischer Sicht ein Albtraum!
Ich habe es mit viel Geduld und Nachdruck geschafft, diese eBay-Account-Sache zu klären. Ein weniger freundlicher Zeitgenosse hätte über den Account vielleicht eine Jacht gekauft und sich anschließend noch Zugang zum Facebook-Account verschafft oder Ähnliches. Die Kontrolle über die E-Mail-Adresse einer Person zu bekommen, ist nahezu gleichbedeutend damit, ihre komplette Online-Identität zu übernehmen. (Das gilt zumindest für den Durchschnitts-User, der für alle Zwecke nur eine einzige Mailadresse und im schlimmsten Fall auch nur ein Passwort verwendet.)
Wer sich eine Domain aneignet und diese dann aktiv für seinen E-Mail-Verkehr nutzt, der sollte sich auch seiner Verantwortung bewusst sein. Ansonsten kann das böse enden.
Vielleicht war die Besitzerin des eBay-Accounts selbst die Domaininhaberin, ich weiß es nicht. Es kann auch gut sein, dass sie gar nicht weiß, was eine Domain ist, und auch nichts davon wusste, dass dieselbige gelöscht wurde. Möglicherweise hat die Webadresse früher mal irgendeinem Freund von ihr gehört, der für sie den Mailaccount eingerichtet hat, wer weiß. Aber wer auch immer dahinter steckt, er hat's verbockt.
Mein Schlussappell an alle Web-Administratoren und sonstige Domaininhaber da draußen lautet also:
Passt auf, dass euch nicht mal so etwas passiert. Prüft vor der Löschung einer Domain, ob noch aktive Mailkonten existieren und seit euch generell dessen bewusst, dass es jederzeit passieren kann, dass jemand anderes die gelöschte Domain wieder registriert.
Wenn man sich unsicher ist, ob man wirklich alle Spuren beseitigt hat, kann es sich durchaus lohnen, eine Domain auch noch mal ein Jahr länger zu behalten, um in dieser Zeit ganz sicher zu gehen. Was sind schon 5€ gegen den Schaden, den ein Angreifer anrichten kann, wenn er sensible E-Mails abgreift?
Geschnatter
9 Kommentare, selbst mitschnattern
Karsten, am 29.07.2015 um 13:02 Uhr
Ich hoffe ja, dass die vielen neuen TLDs dazu führen, dass dieser ganze Domaincatch- und -handelkram mal ein Ende hat. Aus meiner Sicht sind da mafiöse Strukturen am Werk, wenn eine Domain innerhalb von wenigen Millisekunden nach Löschung wieder registriert und dann für zig Tausend Euro verkauft wird.
sabrina, am 01.08.2015 um 15:57 Uhr
Also Augen auf beim E-Mail Adresse anlegen!
Es gelten die Regelungen der Datenschutzerklärung.