Ich nutze kaum Newsletter sondern fast nur noch RSS-Feeds. Bei einem Buchverlag für IT-Bücher bekam ich die News noch per E-Mail. Also versuchte ich mich in den Newsletter-Account einzuloggen um die Abos zu löschen. Leider hatte ich das Passwort verbummelt (dachte ich erst) und ließ es mir per E-Mail zusenden. Da es etwas lange dauerte bis die E-Mail zugestellt wurde suchte ich nochmal nach dem Passwort. Nachdem ich das Passwort nun doch gefunden hatte bekam ich die E-Mail – mit dem Passwort welches ich selber vergeben hatte!

Ich loggte mich mit dem Passwort bei dem Verlag ein, aber dort bekam ich die Meldung: “Sie haben zurzeit keinen Newsletter abonniert.”?! Wie das? Ich bekomme doch drei E-Mails von denen. Nun gut, dann habe ich den WebMaster des Verlages angemailt:

Newsletter
———-
Ich bekomme zwar drei Newsletter
>> —–
>> Sie haben insgesamt 3 Newsletter abonniert:
>> 1 Newsletter im …
>> 1 Newsletter im …
>> 1 Newsletter im …
>> Wenn Sie unsere Newsletter nicht mehr erhalten wollen gehen Sie bitte zu:
>> https://…/newsletter/abbestellen
>> —–
aber wenn ich mich einlogge wird mir angezeigt “Sie haben zurzeit keinen Newsletter abonniert.”

Zugangsdaten
————
Glauben Sie das es sinnvoll ist Passworte im Klartext in der Datenbank zu speichern?

Eben bekam ich folgende Antwort:

in unserer Datenbank war noch ein weiterer Benutzer mit für Sie angelegt, den ich soeben gelöscht habe. Somit bekommen Sie in Zukunft keinen Newsletter mehr von uns. Sollten Sie noch Emails unter eine andere Adresse empfangen haben, bitte ich um kurze Rückmeldung.

Ich bedauere, daß Ihnen die Übermittlung Ihres Passworts im Klartext unangenehm aufgefallen ist. Wir werden bei der demnächst anstehenden Überarbeitung unserer Website Ihren Hinweis aber gerne noch einmal entsprechend prüfen.

Wie kommt die Nase von WebMaster auf den Trichter das ich die Newsletter löschen wollte? Habe ich doch gar nicht geschrieben!? Es wäre, aus Verlagssicht, sinnvoller gewesen den Account zu löschen der eh keine Newsletter abonniert hatte.

Und was will er da prüfen? Passworte im Klartext in einer Datenbank zu speichern ist dumm!… saudumm!… und sollte mit Computer- und Internetentzug nicht unter 5 Jahre bestraft werden.


Die Bücher von dem Verlag sind recht gut, aber deren WebSite…

Die Nasen von dem Verlag speichern nicht nur das Passwort im Klartext in ihrer Datenbank, auch eine XSS-Lücke steckt dort drin. Die sollten evtl. die Bücher die sie verlegen auch mal selber lesen.