Bei Steffen Henssler kann man mit fremden Konten kochen

Steffen Henssler verkauft z.Zt. altes Geschirr für einen guten Zweck. Das ist löblich. Nicht so sehr wie Henssler & Co. mit den Daten ihrer Shop-Kunden umgehen. Zunächst war dort ein Link auf den Shop, allerdings mit einer (Session?) ID eines Kontos ihrer Kundin.

Das wirft fragen auf. Warum kann man ohne Login mit einer (Session)ID auf ein Kundenkonto zugreifen. Und warum kann jemand vom Team Henssler auf ein Kundenkonto einsehen.

Denn das finde ich viel problematischer. Nachdem ich einen Kommentar unter dem Artikel geschrieben hatte, der jedoch (zunächst) nicht veröffentlicht wurde und ich nicht wusste, ob der in der Moderationswarteschleife, im Spamfilter hängt oder verschollen ist habe ich auch noch die für mich im Konto einsehbare E-Mail-Adresse kontaktiert (in der Annahme dies sei die Posterin des Beitrags gewesen. Doch weit gefehlt, sie hatte nichts damit zu tun (und war dementsprechend "irritiert"). (Und ich konnte nicht nur die E-Mail-Adresse sehen.)

Ohne es auszuprobieren hätte ich (wahrscheinlich) für XY Sachen aus Hensslers Shop bestellen können, die alten Bestellungen einsehen können, Name, Adresse, Telefonnummer und E-Mail-Adresse herausbekommen können. Und sogar die Adressdaten auf eine Scheinadresse ändern können, um dann zunächst auf Kosten von XY später vielleicht auf Hensslers Kosten fleißig shoppen können.

Hinweis: Der fehlerhafte Link sowie die (Session)ID ist mittlerweile gefixt. Sonst hätte ich das (noch) nicht gebloggt.