Ein Leser der HNA und treuer Tippgeber von Lokalzeitungskritik schrieb uns eine Email, in der er berichtete, im Formular für die Newsletter-Eintragung auf hna.de würden immer wieder fremde Email-Adresse erscheinen. Das sah dann zum Beispiel so aus:

(Unkenntlichmachung durch Lokalzeitungskritik)

Zuerst konnten wir nicht recht glauben, dass es sich dabei um einen Fehler der HNA handelte, da wir das Problem nicht auf Anhieb reproduzieren konnten. Wir vermuteten daher die automatische Ausfüll-Funktion des Browsers hinter der Eintragung.

Der weitere Mailverkehr mit unserem Tippgeber machte uns aber stutzig. Er berichtete, das Problem trete nicht nur auf einem Computer mit einem Browser auf, sondern auch auf anderen PCs mit ganz anderen neu eingerichteten Browsern. Und er gab uns einen entscheidenden Hinweis: Es habe wohl irgendetwas mit Disqus, dem Kommentarsystem der HNA, zu tun. Denn wenn er nicht angemeldet sei, würden ihm auch keine Mailadressen angezeigt.

Ein erster Versuch mit dem Disqus-Profil von Lokalzeitungskritik brachte allerdings kein Ergebnis. Nach einigem Ausprobieren (wir Informatikheinis nennen dieses ziellose Rumgefummel vor Kunden meist “exploratives Testen”) kamen wir dann aber drauf: Nicht eine Anmeldung mit einem Disqus-Profil, sondern mit einem HNA-Benutzerkonto auf der Webseite brachte das Ergebnis: Eine fremde Mailadresse im Formular.

Nach weiterem Rumgefummel explorativem Testen wurde klar: Email-Adressen von kürzlich angemeldeten Nutzern werden allen angemeldeten Nutzern auf hna.de angezeigt. Nach dem Anmelden mit einem Testkonto bekamen wir die dort verwendete Email-Adresse bei der Nutzung anderer Benutzerkonten im Newsletter-Formular angezeigt:

Ein Blick in den Quelltext der Seite zeigte, dass die Email-Adresse direkt im HTML als Wert in das Formular eingefügt wurde. Der Fehler muss also irgendwo im Quellcode des Content Managament Systems der HNA liegen, mit dem die Artikel und Benutzerkonten verwaltet und die Webseite zusammengebaut wird.

Die Panne in der Verwaltungssoftware ist natürlich datenschutzrechtlich relevant, verspricht die HNA doch einen verantwortungsbewussten Umgang mit personenbezogenen Daten:

Wir verwenden Ihre personenbezogenen Daten nur dazu, Ihnen die von Ihnen gewünschten Dienste zur Verfügung stellen und aufrechterhalten zu können.
Eine darüber hinausgehende Nutzung erfolgt nur, wenn Sie in diese Nutzung eingewilligt haben.

Die Email-Adressen ließen sich leicht automatisiert sammeln und für (illegale) Werbung, aber auch für Phishing-Attacken nutzen. Bei Nutzern mit eigener Domain (das nach dem “@”) in der Email-Adresse lassen sich sogar mit ein paar Klicks der volle Name und die Anschrift über eine Whois-Datenbank ermitteln, in der Informationen zum Domaininhaber gespeichert sind.

Wir hoffen deshalb auf schnelle Fehlerbehebung durch die HNA. Seit gestern 18.30 Uhr ist die HNA-Online-Redaktion über den Sachverhalt informiert.