Exklusiv Gustavo Gusto "Extra Luftig": 2€ Cashback beim Kauf einer Pizza (500 Einlösungen pro Woche)

Die Agentur ist echt unfähig.
Habe gerade weitere Daten gefunden von einer anderen Aktion. Ebenfalls Namen und IBANs.
Werde es auch in diesem Fall wieder der entsprechenden Datenschutzbehörde melden.
Einfach unfassbar! (bearbeitet)

habe mir gerade einmal aus langeweile diesen DIENSTLEISTER angeschaut und bin entsetzt ... wie einfach es doch ist da an alle daten zu kommen ... es sind alle projekte betroffen. alle kunden ... wie lange es jetzt so läuft keine ahnung. aber der server ist komplett ungeschützt und offen für jeden der einfach etwas langweile hat ... werde mal alle kunden von diesem DIENSTLEISTER mit pfad zu ihren datewn anschreiben ... bin mal gespannt was da nächste woche los ist bei der agentur lol

Ich würde bis auf weiteres hier nicht teilnehmen.
Auf dem Server sind öffentlich alle Daten (Fotos der Kassenbons, Excel Tabellen mit IBANs + vollständigen Namen, etc.) einsehbar. Habe dies mydealz schon gemeldet. (bearbeitet)

Was ich nicht verstehe ist was das mit den 5 € zusätzlich soll, die nun ausgezahlt werden sollen. Bei bis zu 2.000 Betroffenen sind das maximal 10.000 €, also für ein Unternehmen dieser Größe absoluter Peanuts. Wenn man nichts falsch gemacht hat muss man auch kein Geld auszahlen dann sagt man man hat nichts falsch gemacht und zahlt kein Geld aus. Zeichen des guten Willens, ich weiß nicht, man zahlt doch eigentlich nur so eine Summe wenn man ansonsten befürchten muss dass da noch richtig was kommt um die Leute erstmal ruhig zu stellen. Soll jetzt gar keine Unterstellung sein aber so kommt das für mich rüber.

Kann nur jedem raten, sich dort einzutragen und mitzumachen:
kleinfee.com/tul…ck/

500 pro Woche. Richtige Lotterie

Der ein oder andere hat sich vermutlich schon gewundert, warum dieser Deal hier nicht mehr zu finden war und auch die entsprechende Subdomain mit dem Formular nicht mehr erreichbar war.

Hier nun die Erklärung: Ein Nutzer hatte uns am 3.7. um 10:45 Uhr darauf hingewiesen, dass man aufgrund eines falsch konfigurierten Servers auf einen Teil der auf der Landingpage eingetragenen Daten zugreifen konnte. Ein weiterer Nutzer hatte dies kurz darauf ebenfalls bestätigt. Wir haben knapp 45 Minuten später die richtigen Ansprechpartner ausfindig gemacht, den Deal bei uns offline gestellt und weitere 35 Minuten später wurde der Server offline genommen und es gab keine Möglichkeit mehr, von extern auf die Daten zuzugreifen.

Folgende Daten konnten eingesehen werden:

• Vor- und Nachname
• IBAN
• Foto des hochgeladenen Kassenbons

Noch einmal zur Klarstellung: Es handelte sich dabei nicht um mydealz Server, zu keinem Zeitpunkt war ein Zugriff auf irgendwelche Daten von mydealz möglich. Für die Abwicklung der Cashback-Aktion nutzten wir, so wie viele andere große Marken (Leibniz, Nordsee, Zentis, granini, Bahlsen, …) den auf solche Aktionen spezialisierten Anbieter brand on fire Digital, einen Dienstleister, der hier die Abwicklung der Cashback-Aktion übernommen hatte. Beim Aufsetzen der Aktion ist auf deren Seiten leider ein riesiger - vermutlich menschlicher - Fehler geschehen, wodurch die entsprechenden Daten nicht gegen externen Zugriff abgesichert waren. Sie haben zunächst sichergestellt, dass die Daten nicht mehr abrufbar sind, anschließend haben sie alle ihren anderen Aktionen geprüft - und sich dann aufrichtig entschuldigt. Sie überarbeiten natürlich auch nochmals ihr Sicherheitskonzept, sodass sowas nicht wieder passieren kann. Insgesamt waren bis zu 2000 Nutzer betroffen. Wir werden sowohl die Behörden als auch jeden betroffenen Nutzer noch diese Woche separat informieren. Aktuell haben wir selber keinerlei der Informationen, da die wie gesagt beim Anbieter gespeichert wurden, werden uns diese aber jetzt zukommen lassen. Ebenfalls werden wir mit dem Zahlungsdienstleister sprechen und jedem einzelnen betroffenen Nutzer 7€ pro Einlösung statt den 2€ überweisen lassen. Das soll aber natürlich einfach nur ein Zeichen sein, dass wir wissen, wie verdammt bescheiden das Ganze gelaufen ist.

Wir haben zu diesem Zeitpunkt keinerlei Informationen darüber, ob diese Lücke bereits vorher von anderen ausgenutzt wurde. Die beiden Nutzer (vielen Dank nochmal) werden zusätzlich auch nochmal förmlich darauf hingewiesen, dass das Downloaden und/oder Speichern der Daten natürlich strafbar wäre. Zusätzlich lassen wir uns bestätigen, dass dies nicht erfolgt ist und/oder die Daten vollständig gelöscht wurden.

Was machen jetzt Leute die bereits gekauft haben und trotzdem eine Erstattung hoffen? Wir haben überlegt wie man sinnvoll damit umgeht. Die Server sind inzwischen geschützt, aber wir wollten ohne ein neues, besseres Konzept den Deal jetzt nicht mehr weiter aktiv bewerben. Wer das also alles gelesen hat und trotzdem noch den Bon einlösen möchte - hier ist der Link (wir haben bewusst den Deal-Link entfernt, damit man nicht zum Formular gelangen kann, ohne diese Nachricht hier gelesen zu haben). Es kann noch kurz dauern bis die Seite bei euch wieder geladen werden kann.

Auch wenn es in der Sache für euch als Betroffene vermutlich erst einmal keinen großen Unterschied macht, möchte ich an dieser Stelle dennoch nochmals darauf hinweisen, dass diese Daten nicht bei uns ungeschützt abrufbar waren. Eure Daten (z.B. Username, genutzte E-Mail-Adresse) bei mydealz waren zu keinem Zeitpunkt betroffen. Wir möchten uns nochmal aufrichtig entschuldigen - auch im Namen von brand on fire Digital. So etwas darf nicht passieren.

so, dann gibt es hier mal ein - den Umständen entsprechend - erfreuliches Update:

Nachdem wir nun Zeit hatten, uns die Server-Logs genau anzusehen, fühlen wir uns sicher genug, vorsichtige Entwarnung zu geben. Die einzigen fremden Zugriffe auf die entsprechenden Daten haben am 03.07.2023 von 10:18 Uhr bis 11:42 Uhr stattgefunden.

Insgesamt haben in dieser Zeit neun unterschiedliche IPs auf die Dateien zugegriffen:

• 2 IPs gehören zu Mitarbeitern der Agentur
• 2 IPs müssen zu den beiden Nutzern gehören, welche auf den Fehler aufmerksam gemacht haben
• 5 weitere Zugriffe kamen durch unseren externen Datenschutzbeauftragten und unsere Mitarbeiter zustande, um die Meldung zu überprüfen

Das ist jetzt natürlich keine 100%ige Garantie und wir möchten euch auch weiterhin bitten, eure Kontoaktivitäten in nächster Zeit genau zu kontrollieren, wenn ihr zu den Betroffenen gehört, um ggf. schnell reagieren zu können. Aber zumindest können wir zum jetzigen Zeitpunkt sagen, dass es nicht danach aussieht, als ob diese Lücke schon früher ausgenutzt wurde und auch am besagten Tag war die Anzahl der Zugriffe überschaubar und direkt oder indirekt bekannten Personen zuzuordnen.

Wir haben selbstverständlich auch jeden mit bekanntem Zugriff auf die Daten förmlich auf die rechtliche Situation hingewiesen und eine schriftliche Bestätigung dafür erhalten, dass die Daten entweder gar nicht erst heruntergeladen wurden und/oder bereits wieder gelöscht worden sind.

Jeder der vorhat als Privat Person diese Sicherheitslücken zu melden. Sollte dies nicht direkt bei den betroffenen Unternehmen machen, sondern bei Bundesnetzargentur (Sollte eigentlich schon informiert sein) oder Datenschutzbeauftragten (Landesbehörden) usw. mit Verweis auf die Information die es von Seiten mydealz gab.

Wer ein Unternehmen direkt auf solch eine Sicherheitslücke hinweist, könnte Gefahr laufen selbst zum Ziel zu werden. Da einem dann unterstellt werden kann, diese Sicherheitslücke selbst ausgenutzt zu haben um unberechtigt an Daten Dritter zu gelangen.

Vor allem wenn man jetzt anfängt forensische Beweise zu sammeln und das ganze zu dokumentieren.

Dabei spielt es keine Rolle ob dann so ein Strafverfahren gegen einen selbst dann eingestellt wird. Erst einmal hat man dann mit diesem Ärgernis zu tun.

Und wer meint sowas kann nicht passieren. Fragt paar Sicherheitsforscher die in der Vergangenheit genau dies erlebt haben.

Falls ich mich irre, bin ich natürlich für eine Aufklärung dankbar. Damit ich meine mögliche Wissenslücke schliessen kann.

Wow 7 Euro.
Ich bin hart enttäuscht. 5 Euro dafür das meine Daten öffentlich gemacht wurden.

Sogar mit Gewinn möglich.
Und hat anscheinend sogar geklappt, obwohl auf dem Kassenzettel nur Pizza Margherita stand. (bearbeitet)

"leider ist ein technisches Problem aufgetreten"

Ja blöde Sache. Hoffe einfach mal, dass da nichts kriminelles kommt. Aber vielleicht gibt es ja wirklich einen dieser ominösen Rechtsanwälte, die nur darauf warten sowas auf Provision zu bearbeiten. Da nehm ich dann gern noch ein bisschen Extrageld mit.

Mich würde noch interessieren, wie ich mir das vorstellen kann, dass eine Excel offen lag. Also die Netzwerkverbindungen protokolliert und entsprechend den Server direkt ohen Formular angesprochen?

Verstehe ich das richtig dass ich das Glück haben muss von den 500 Pizzen pro Woche eine zu erwischen? Ist ja absoluter Scam für die geringe Chance alle Daten zu hinterlassen. Gehen wir von 5Mio Pizzen die Woche aus haben wir eine Chance von 1 zu 10000 eine davon zu erwischen.... (bearbeitet)

Für mich so oder auch in Normalversion chancenlos gegen Dr. Oetker "Die Ofenfrische". Leider!

Der Geschmack der "normalen" Gustavo ist gut, aber der Teig gefällt mir nicht (trocken/hart) und es ist zu wenig Belag drauf.

kann man jede woche als gleiche person neu teilnehmen fuer eine pizza?

Werden die 500 Cashbacks unter allen Einsendungen ausgelost oder werden die ersten 500 bearbeitet und dann ist Schluss?

Ist das richtig, dass ich nur einmal Cashback bekomme? Ich muss also alle Pizzen auf einmal kaufen?

Wie verdient man an einem Produkt mehr, ohne die Preise anzuheben?

Man reduziert die Zutaten um ca 30%, flufft ein wenig daran herum und nennt das ganze "extra luftig"

Am Arsch die Räuber.

Auf meinem Bon steht nur "Pizza Salame". Geht das durch?

Für wie hoch haltet ihr die Wahrscheinlichkeit, dass jemand an die Daten gekommen ist und diese nun ausnutzt?

Gibt's mittlerweile eigentlich Neuigkeiten was die Server Logs betrifft, konnte man da irgendwas herausfinden? @admin @David

Die luftig Versionen sind gar nicht mal so geil wie normalen, wird bei mir kein bisschen fluffig und außerdem sind sie auch arg klein (bearbeitet)

Boah bei dem Deal war der outcome insgesamt ja deutlich auf der negativen Seite. Da habt ihr euch keinen Gefallen getan.

Macht eure Pizzen selbst.

Wenn es um ein Datenleck geht wird die Diskussion direkt geschlossen, weil doppelt. Aber die 50. Bürostuhl-Diskussion und die 974. KK-Diskussion ist in Ordnung. Mydealz at its best

Ich hoffe, das war die erste und die letzte MyDealz-eigene Cashback-Kampagne. Da braucht man auch keine zweite Chance. Einfach sein lassen. Danke.

Schlechte Pizza. Besteht nur aus Teig/ Rand und kaum Belag drauf. Nein danke

500 Einlösungen pro WOCHE? Das ist ja absolut lächerlich

Leider hat es den digitalen eBon von Edeka nicht angenommen -->manuelle Prüfung. Ich hoffe es sollte aber keine Probleme geben