Eine kleine Geschichte aus dem Bereich Kundenservice…
Mein TomTom ist mir Fluch und Segen zugleich. Damit ich nicht planlos durch die Welt irren mus, habe ich mir vor geraumer Zeit ein TomTom-Navigationsgerät zuglegt. Da mit meinem Alter auch die Preise meiner ‘Spielzeuge’ steigen, hatte ich mich für das damalige Flaggschiff, das 920T entschieden. Leider sollte es mir mehr Probleme als Freude bereiten: Für den teureren Preis hat das Gerät einige Extras, die wohl lange entwickelt werden mussten: Der Touchscreen hat eine eigene Meinung und reagiert nur so, wie er will. So springt das Gerät bei einer Adresseingabe öfter mal eine Seite zurück und die Eingabe ist weg! Außerdem sind die Batterien in der Fernbedienung anscheienend mit einer ganz trickreichen Diebstahlsicherung geschützt: ich bekomme die Fernbedienung nämlich auf Gedeih und Verderb nicht mehr auf – dabei möchte ich doch nur die leeren Batterien wechseln…
Wie dem auch sei: zusammen mit einigen weiteren Mängeln schickte ich das Gerät ein, und bekam es prompt (fast) unbearbeitet zurück. Eine neue Firmware wurde aufgespielt, doch sämtliche beschriebenen Mängel waren noch vorhanden.
“Wie ist denn nun Ihr Passwort?”
Ein erneuter Anruf bei der Kundenhotline brachte schließlich interessante Vorgänge zu Tage: Da der Telefonist die Historie meiner ersten Einsendung ansehen wollte, fragte er mich nicht nur nach der Vorgangsnummer, sondern auch nach meiner Mailadresse und meinem Passwort. Plötzlich nicht nur gegenüber der Serviceleistung misstrauisch geworden fragte ich, wofür er es bräuchte.
“Damit ich die Daten hier einsehen kann”, war die lapidare Antwort.
“Aha. Das war doch sonst auch nicht nötig?” fragte ich verwirrt.
“Ja, aber [begründungslose Antwort ausgeblendet]. Wie ist denn nun Ihr Passwort?”.
Ich entschied mich, zu bocken und herauszufinden, wohin der Weg führt:“Das weiß ich grad’ nicht mehr” sagte ich und setzte noch drauf: “Irgendwas Dummes!”.
“Ach das macht nichts, ich logge mich hier kurz im anderen System ein, und dann hole es mir da.”, entgegnete er mir.
“Moment!”, unterbrach ich ihn, “Wollen Sie mir etwa sagen, dass Sie dort in Ihrem System mein Passwort im Plain text sehen können?”
Verwirrung in der Hotline: “Also ich weiß jetzt nicht, was Sie mit diesem ‘Plain text’ meinen, aber ich kann Ihr Passwort dann hier sehen, ja.”.
Leicht geschockt wollte ich mir das noch einmal in den Ohren zergehen lassen:
“Nur damit ich das jetzt auch wirklich richtig verstehe: Sie können gleich mein Passwort einsehen? Mein Kundenpasswort, von meinem Account, mit dem ich mich auf Ihrer Webseite einlogge. Mit dem ich nicht nur den Support anschreibe und auch im Onlineshop einkaufen kann?”
“Ja.”
“Das ist ja kaum zu glauben! Haben Sie schonmal was von Datenschutz oder Datensicherheit gehört?” empörte ich mich. “Sie können doch nicht einfach Kundenpasswörter im Plain text speichern… dafür verwendet man gesalzene Hashes! Was für ein Unsinn ist das denn bitte, die Passwörter ‘unverschlüsselt’ zu speichern?”
Nach einer erwartungsgemäß verwirrten Pause folgte die Antwort:“Also das macht sehr wohl Sinn. Was meinen Sie, wie oft hier Kunden anrufen, die ihr Passwort vergessen haben. Die sind eigentlich immer froh, wenn wir es ihnen sagen können. Sagen Sie mal, sind Sie Informatiker oder so?”
“Was war ihr erster Hinweis?” fragte ich zurück.
“Naja, diese komische Emailadresse” entgegnete er. (Anmerkung: (tomtom@nospam.[meinedomain].[tld])
“Ja, die ist dafür da, dass ich sofot mitbekomme, wenn Sie meine Adresse verkaufen. Das mache ich inzwischen bei allen Firmen so.” erklärte ich.
“Also wir verkaufen Ihre Adresse bestimmt nicht weiter!”
“Sehen Sie, dann hat es ja funktioniert.” konterte ich frech.
“Haha, der ist gut! [tippt auf seiner Tastatur] Also ich hab jetzt ihr Passwort. Es ist: [XXXXXXXX]. Und so dumm ist es eigentlich gar nicht, da gibt es ganz Andere”
Ja, das Passwort (hier natürlich nicht ausgeschrieben) war tatsächlich richtig. Und mir fehlen die Worte bei so viel ‘Kundenservice’.
Schlagworte: Datenleck, Datenschutz, Kundendaten