Gepostet 10 Juli 2023

Datenleck bei brand on fire (diverse GZG und Gewinnspiele betrofffen)

Es gibt leider noch wenig bis keine offiziellen Informationen dazu jedoch haben mehrere Mitglieder hier im Forum Teilnehmerdaten von GzG Aktionen und Gewinnspielen ungeschützt auf Servern im Internet gefunden und hier bei Mydealz davor gewarnt

Hoffentlich kann dieser Thread hier helfen die Informationen und mögliche Massnahmen dazu zu bündeln so das man nicht immer in x Threads lesen muss ob es etwas Neues gibt. Vielleicht läuft dies auch auf eine DSGVO Sammelklage hinaus, auch hier wäre es gut einen zentralen Beratungspunkt zu haben, ähnlich wie bei der Mastercard Specials Lücke.

Ich verlinke hier mal die wichtigsten Aktionen die betroffen waren so den GzG FAQ Thread, in dem viele Neuigkeiten dazu bisher zu lesen waren.

GzG Aktionen - Fragen und Probleme


Betroffene GzG Aktionen:
-------------------------------------------------------------------------------------------------------------------------
1) Tulip

Erste Reaktion vom Veranstalter 11.07.

Nachricht vom Veranstalter 11.07.

-------------------------------------------------------------------------------------------------------------------------
2) Gustavo Gusto

Nachricht vom Veranstalter (auch per Email verteilt)

Update vom 10.07.
-------------------------------------------------------------------------------------------------------------------------
Weiter sollen noch andere GzG betroffen gewesen sein (ohne nähere Info)
- Lavazza
- Elisabethen Quelle
- Chocomel

Quelle



Sonstige betroffene Aktionen:

diverse Gewinnspiele -> Posting dazu von


ich hoffe das ist ok so mit der Diskussion aber in anderen Fällen wo ihr zum Glück selbst nicht involviert wart, habt ihr ja auch den Informationsaustausch unter Betroffenen toleriert.
Zusätzliche Info
Sag was dazu

236 Kommentare

sortiert nach
's Profilbild
  1. David's Profilbild
    brand on fire hat uns die folgenden Informationen zukommen lassen, die ich hier einfach mal unkommentiert bzw. im Originalwortlaut weitergeben möchte, da die betroffenen Aktionen im Gegensatz zur Gustavo-Gusto-Aktion in keinerlei Zusammenhang mit uns stehen und wir daher auch darüber hinaus keinerlei Aussagen treffen können (alle Aussagen ab hier stellen ausschließlich den aktuellen (Wissens-)Stand dar):

    >> Alle Verstöße sind bei den Behörden sachgemäß und innerhalb der Frist gemeldet worden.
    >> brand on fire hat umfangreiche Maßnahmen eingeleitet, um den Fehler nicht wieder vorkommen zu lassen und bedauert den Vorfall zutiefst.
    >> Alle Betroffenen werden am 11. Juli 2023 per E-Mail informiert.
    >> Betroffen sind ausschließlich die Marken TULIP, Elisabethen Quelle und Lavazza.
    >> Weitere genannte Marken wie Chocomel sind nicht betroffen, da die entsprechenden Ordner auf dem Backup-Server leer waren.
    >> Entgegen der Mutmaßung von mehr als 60.000 Fällen, handelt es sich um 41.791 betroffene Personen. Der Rest erklärt sich durch Mehrfachteilnahmen.
    >> Bei Lavazza ist ausschließlich eine Liste E-Mail-Adressen betroffen gewesen, bei TULIP und Elisabethen Quelle die Teilnahmedaten der Personen.
    >> Eine Verbindung zwischen den Kassenbon-Fotos und den personenbezogenen Daten besteht nicht. Die Bilder waren nicht zuzuordnen.
    >> Bei 40.436 Personen können wir nach jetzigem Kenntnisstand davon ausgehen, dass die Daten zwar abrufbar gewesen wären, sie jedoch abgesehen von der Person, die den Fehler gemeldet hat, von niemandem geöffnet oder heruntergeladen wurden. Das ist in den Log-Files nachvollziehbar und betrifft die laufende TULIP Gratis Testen-Aktion, sowie komplett alle Daten von Lavazza und der Elisabethen Quelle.
    >> Die Daten von 1.355 Personen aus der TULIP Gratis Testen-Aktion waren max. vier unberechtigten Zugriffen ausgesetzt, wobei es sich hierbei nach jetzigem Kenntnisstand ausschließlich um Zugriffe rund um die Aufdeckung des Fehlers handelt.
    >> Es gibt bisher keine Anzeichen dafür, dass Daten unberechtigt Heruntergeladen oder an Dritte Weitergegeben wurden. Nach aktuellem Wissensstand haben nur Personen die Daten geöffnet, die dies zum Zwecke der Aufdeckung / Meldung des jeweiligen Fehlers getan haben.
    >> Die Personen, die dankenswerter Weise per E-Mail die Fehler gemeldet haben, wurden schriftlich darauf hingewiesen, dass sie die Daten löschen müssen
    (bearbeitet)
    SSnake95's Profilbild
    dafür bin ich in der Lage, die Aussagen zu kommentieren:

    >> Betroffen sind ausschließlich die Marken TULIP, Elisabethen Quelle und Lavazza

    Falsch. Tatsächlich mit persönlichen Daten gefüllte Tabellen habe ich gefunden von:
    - Elisabethen Quelle (Gewinnspiel) 04.05.2022 - 30.06.2022.
    - Lavazza (Gewinnspiel) 06.01.2023 - 05.07.2023.
    - Tulip (Cashback) 28.03.2023 - 05.07.2023.
    - Gustavo Gusto (Gewinnspiel "Gewinnair") 15.05.2023 - 06.07.2023.
    - Leibniz (Gewinnspiel) 10.01.2022 - 31.03.2022.
    - Leibniz (Gewinnspiel "Back To School") 01.07.2023 - 06.07.2023.
    - Pilot (Gewinnspiel "Back To School") 02.06.2023 - 05.07.2023.
    - Rügenwalder (Gewinnspiel) 01.10.2022 - 06.12.2022.

    >> Entgegen der Mutmaßung von mehr als 60.000 Fällen, handelt es sich um 41.791 betroffene Personen. Der Rest erklärt sich durch Mehrfachteilnahmen.

    In der "großen" Datenbankdatei. In der "kleinen" sind aber nochmals 31943 Datensätze gewesen. Angenommen dort seien auch 30% Mehrfachteilnahmen gewesen, wären es dennoch weitere 22.248 betroffene Personen, insgesamt also etwa 64.000 Leute.

    >> Bei Lavazza ist ausschließlich eine Liste E-Mail-Adressen betroffen gewesen, bei TULIP und Elisabethen Quelle die Teilnahmedaten der Personen.

    Außer den E-Mail-Adressen waren auch die Fotos der Kassenbons bzw. Rechungs-PDFs, IP-Adressen und Datum und Uhrzeit der Teilnahme ersichtlich. Auf den hochgeladenen Rechnungen befanden sich dann wiederum Namen, Anschriften und Kundennummern.

    >> Eine Verbindung zwischen den Kassenbon-Fotos und den personenbezogenen Daten besteht nicht. Die Bilder waren nicht zuzuordnen.

    Doch, die Fotos der Kassenbons waren über ihre IDs 1:1 den Datensätzen zuzuordnen. (Abgesehen davon wären sie auch über die per OCR erkannten Textschnipsel zuzuordnen gewesen, die auch im Datensatz gespeichert wurden oder über aufgedruckte Kundendaten.)

    >> Bei 40.436 Personen können wir nach jetzigem Kenntnisstand davon ausgehen, dass die Daten zwar abrufbar gewesen wären, sie jedoch abgesehen von der Person, die den Fehler gemeldet hat, von niemandem geöffnet oder heruntergeladen wurden. Das ist in den Log-Files nachvollziehbar und betrifft die laufende TULIP Gratis Testen-Aktion, sowie komplett alle Daten von Lavazza und der Elisabethen Quelle.
    >> Die Daten von 1.355 Personen aus der TULIP Gratis Testen-Aktion waren max. vier unberechtigten Zugriffen ausgesetzt, wobei es sich hierbei nach jetzigem Kenntnisstand ausschließlich um Zugriffe rund um die Aufdeckung des Fehlers handelt.
    Die Log-Dateien sind vermutlich unvollständig oder falsch, da allein ich mit mehr IP-Adressen auf die Daten zugegriffen habe, als (angeblich) geloggt wurden. Demnach könnten auch viele weitere Zugriffe erfolgt sein, die nicht bekannt sind. (bearbeitet)
  2. AnjaAnja's Profilbild
    Mega danke
  3. SophiaLoren's Profilbild
    Einfach mal danke sagen:

    Danke lieber danke lieber für das Aufdecken und euren Einsatz!

    Danke lieber für das Erstellen der Diskussion und das Kümmern bei den Agenturen

    Ohne euch wäre ich aufgeschmissen.

    Daher von Herzen Danke ❤️ (bearbeitet)
    Tepmest's Profilbild
    Volle Zustimmung. Ganz lieben Dank. Leider kann man eine Diskussion nicht "voten".
  4. markusp12's Profilbild
    Die Hamburgische Datenschutzbehörde hat sich wegen des Tulip-Lecks bei mir mit weiteren Detailfragen gemeldet, die ich soeben beantwortet habe (wann entdeckt / wann informiert etc.). Also die sind da auch bereits dran. (bearbeitet)
    01101011000100011's Profilbild
    Wie seit ihr (du und ) eigentlich auf das Leck aufmerksam geworden bzw. seit ihr unabhängig darauf gestoßen oder wusstet ihr voneinander?
  5. d.gray82's Profilbild
    Guten Morgen, die Anwaltskanzlei Kleinfee bittet um Hilfe : Nach unseren Recherchen, die durch Aussagen im mydealz-Forum bestätigt werden, ist es unzutreffend, dass "auf das betroffene Verzeichnis nur einmal unbefugt, und zwar am 6. Juli 2023 zugegriffen" wurde. Wir müssen die Aussagen von Tulip allerdings widerlegen, um unserer Darlegungs- und Beweislast zur Durchsetzung des Schadensersatzanspruchs nachzukommen.

    Hierbei können Sie uns helfen. Unter secureupload.franz.de/ besteht nun die Möglichkeit Informationen - wie etwa die Datenbank oder Screenshots von Zugriffen - anonym an die mit dem Fall betraute Rechtsanwaltskanzlei zu schicken.

    Mit freundlichen Grüßen

    Team kleinfee
  6. markusp12's Profilbild
    Habe Antwort von Tulip / Danish Crown erhalten:

    Dear Markus

    Thank you for the information.

    The case was reported to the Hamburg data protection authority earlier this noon.

    We have secured the data and will ensure that this does not happen again.

    Kind regards

    Xxx

    Senior Data Privacy Manager
    Group Legal

    ----

    Dear Markus

    In addition, i forgot to mention, that we are working on a statement to inform all the involved by e-mail

    Kind regards

    Xxx
    (bearbeitet)
  7. 12Moep34's Profilbild
    kann mir jemand weiterhelfen was der untere Punkt bei kleinfee bedeutet?


    (optional) Ich beauftrage die kedapro GmbH damit, als Bote die hier hinterlegte Informationsanfrage an alle oben genannten, als haftende Verantwortliche oder Auftragsverarbeiter in Betracht kommenden Adressaten zu übermitteln, wobei der Erklärung meine gegenüber dem oder den Vertragspartnern offenbarten Informationen an den entsprechenden Platzhaltern einzufügen sind. Wir verpflichten uns, die durch den Gegner an uns übermittelten Daten und Informationen strikt vertraulich zu behandeln und nur zum Zweck der Anspruchsdurchsetzung zu verarbeiten.
    deal_la's Profilbild
    Damit erlaubst du Kleinfee, dass die beim entsprechenden Unternehmen in deinem Namen die DSGVO-Auskunft einholen.

    Wenn du das nicht anklickst, dann wirst du von Kleinfee vermutlich einen Text bekommen und den selbst versenden müssen.

    Also wird es letztendlich einfacher für einen sein, wenn man einfach die Checkbox aktiviert.
  8. syfy323's Profilbild
    Hat eigentlich schon jemand was von Kleinfee gehört? Außer der Bestätigung zum Eingang habe ich nichts bekommen. Auf meine Nachfrage kam bisher auch keine Antwort.
    Icecreamman's Profilbild
    idR ist es so, dass die sich melden, wenn es Fortschritte gibt
  9. Krakrana's Profilbild
    Gibt's eine Übersicht mit allen betroffenen Aktionen/Produkten?
    (mindestens) betroffen: Tulip, Chocomel, Gustavo Gusto, Lavazza und Elisabethen Quelle, doch es hieß ja auch es seien eigentlich ALLE Aktionen mit diesem Dienstleister betroffen.

    Und da geht's ja leider um die vollen Datensätze:

    "Jetzt habe ich erneut ein Datenleck gefunden, bei dem scheinbar ALLE von euch angegebenen Daten abrufbar waren. Etwa 63.000 Datensätze mit:
    - Vorname
    - Nachname
    - Geburtsdatum
    - IBAN
    - E-Mail-Adresse
    - IP-Adresse
    - Foto des Kassenbons"
    ken's Profilbild
    Autor*in
    Ich werde heute Abend mal versuchen die Informationen zusammenzutragen von den unterschiedlichen Stellen, ich wollte jetzt nur erstmal einen Thread dafür erstellen und schauen wie die Resonanz ist aber offenbar ganz gut.
  10. Rotkohls's Profilbild
    Info: mydealz wird mal wieder im Spiegel zitiert:
    spiegel.de/net…826
    ken's Profilbild
    Autor*in
    Sehr gut, durch die Aufmerksamkeit wird das hoffentlich auch für Juristen interessant.

    Ich habe mal EUGD, Kleinfee und WBS Law kurz und knapp angeschrieben, wenn ich was höre gebe ich es weiter. (bearbeitet)
  11. arsten's Profilbild
    Die pfuschen munter weiter. Die aktuelle Tulip-Aktion mydealz.de/dea…055 wurde ja vorzeitig beendet. Seit dem 12.07.2023 ist auf Aktionsseite keine Teilnahme mehr möglich. Stattdessen ein Hinweis mit alternativer Kontaktmöglichkeit per E-Mail. Nur hat sich diese zwischenzeitlich geändert:

    12.07.2023
    @tulip-aktion.de
    42496606-GAIkl.jpg
    14.07.2023
    @tulipaktion.de
    42496606-9Wdxr.jpg
    Ich habe meine Daten am 12.07. hingeschickt. Keine Reaktion. Heute noch einmal an die geänderte Adresse und immerhin einen autoreply erhalten. Ich möchte nicht wissen, wie viele andere ihre Daten ab dem 12. ebenfalls ins Nirvana geschickt haben. (bearbeitet)
    jannie911's Profilbild
    dort arbeiten richtige Profis *IRONIE OFF*
  12. SW911's Profilbild
    Die Aktion aus 2023 betreffend, zur besseren Lesbarkeit ohne das HTML-Gedöns:

    Liebe*r Max Mustermann,

    Wir kommen zurück auf unsere letzte E-Mail und möchten Dir zunächst erneut unsere aufrichtige Entschuldigung aussprechen. Dein Vertrauen in unser Unternehmen ist uns äußerst wichtig und wir möchten daher weiter angemessen reagieren.

    Wir verstehen, dass Du die Entwicklungen aufmerksam verfolgst und möchten Dir daher gerne weitere Informationen und Hintergründe mitteilen.

    Wie wir Dir bereits mitgeteilt haben, ist uns am 7. Juli 2023 bekannt geworden, dass Deine persönlichen Daten aus der ‑ Gratis Testen Aktion 2023 auf einem Backup-Server von unserem Dienstleister nicht ausreichend gesichert waren.

    Davon betroffen waren: Vorname, Nachname, IBAN, Geburtsdatum, E-Mail-Adresse, IP-Adresse und das Foto Deines Kassenbons.

    Ausweislich der uns zur Verfügung stehenden Server-Protokolle wurde auf das betroffene Verzeichnis nur einmal unbefugt, und zwar am 6. Juli 2023 zugegriffen.

    Wir haben keine Anhaltspunkte dafür, dass Deine Daten missbräuchlich verwendet werden. Die Sicherheit des Backup-Servers wurde sofort wiederhergestellt. Zudem stehen wir im engen Austausch mit den zuständigen Aufsichtsbehörden.

    Dennoch möchten wir Dir proaktiv, wenn Du Interesse daran hast, kostenlos einen 12-monatigen Zugang zum "https://www.bonify.de/identitaetsdiebstahl-bonify-identprotect-rundum-schutz-persoenliche-daten"
    Bonify Identitätsschutz anbieten.

    Bonify monitort Deine persönlichen Daten im Internet, in sozialen Netzwerken, im Darknet und in öffentlichen Datenbanken, um einen möglichen Diebstahl, Verlust oder die Offenlegung Deiner Daten sofort zu erkennen. Wenn Deine Daten gefunden werden, wirst Du sofort benachrichtigt und erhältst einen Hinweis auf die nächsten Schritte. Wenn Du diesen Service in Anspruch nehmen willst, setze Dich mit uns unter der E-Mail-Adresse Dein.Team@Tulip.de in Verbindung.

    Falls Du Dich bereits mit einer speziellen Anfrage bei uns gemeldet hast, werden wir schnellstmöglich gesondert auf Dich zukommen.

    Wir bedanken uns für Dein Verständnis und verbleiben mit herzlichen Grüßen

    Dein TULIP Team
    Danish Crown Foods Germany GmbH
    Christoph-Probst-Weg 26, D-20251 Hamburg
    T +49 40 5543 6030
    Handelsregister Hamburg HRB 125755
    Geschäftsführer: Christian Daub, John Faurholdt Jensen, Thorsten Pollet (bearbeitet)
    KNUT_DICKSON's Profilbild
    Nimmst du das an?
  13. jobrautis's Profilbild
    Hat hier jemand Erfahrungswerte mit Kleinfee wie lange sowas dauert bzw. bis man überhaupt mal was hört in Richtung eines Updates?
    ken's Profilbild
    Autor*in
    Das ganze Verfahren wird Jahre dauern. Updates gab es beim Mastercard Fall bspw. nur sehr sporadisch, wenn es mal ein Urteil gab z.B.
  14. markusp12's Profilbild
    Also Tulip bzw. Danish Crown Foods hat bisher auf meine E-Mail bzgl. des Datenlecks nicht reagiert.
    Kann nicht schaden, wenn weitere Leute mal dort per E-Mail melden (gdpr@danishcrown.com) und Auskunft darüber fordern, ob sie betroffen sind oder nicht. Man sollte da ein wenig Druck aufbauen. Immerhin ist Danish Crown Foods Veranstalter der Aktion und kann sich nicht einfach durch Nichtbeantwortung aus der Affäre ziehen.

    Also feuert aus allen Rohren! (bearbeitet)
    Unbekannter-Sparer's Profilbild
    Könntest du vielleicht dein Schreiben hier teilen, damit nicht jeder ein eigenes erstellen muss?
  15. Mechanic1's Profilbild
    Wer gibt bei solchen Dingen denn die richtigen Daten an
    SSnake95's Profilbild
    - Vor- und Nachname sollten bei Gewinnspielen und GzG schon richtig sein, da das sonst auffliegen könnte, wenn der Gewinn bzw. das Geld ausgezahlt werden sollen und da plötzlich ein ganz anderer Empfänger steht.
    - IBAN muss bei GzG auch echt sein, da sonst kein Geld ankommt.
    - Adresse bei Gewinnspiel auch, da sonst der Gewinn nicht ankommt.
    - IP-Adresse kann man per VPN verschleiern. Ist aber auch eigentlich egal.

    Das einzige was man aus meiner Sicht unbedenklich machen kann ist das Faken des Geburtsdatums, Angabe falscher Anschriften, wenn man keinen Gewinn per Post erwartet und das Verwenden von Einweg-E-Mail-Adressen (bei Gewinnspielen aber nicht vergessen, regelmäßig ins Postfach zu schauen).

    Aber immer im Hinterkopf behalten, dass man eventuell zustimmt, dass alle Angaben korrekt sind und bei Falschangaben von der Teilnahme ausgeschlossen werden kann. Außerdem bewegt man sich da schnell im Bereich der Urkundenfälschung oder Identitätsdiebstahl. Rechtlich nicht unbedenklich. (bearbeitet)
  16. arsten's Profilbild
    Von TULIP (kontakt@tulipaktion.de) kommt aktuell 12.07.2023 17:22 eine Mail wegen einer weiteren / älteren Tulip-Aktion („Gratis Testen Aktion X-Mas 2022“) - das sollte hier bei mydealz mydealz.de/dea…916 sein:

    "Liebe*r Teilnehmer*in,

    wir müssen Dich heute leider informieren, dass dem von uns mit der technischen Abwicklung beauftragte Dienstleister bei der Sicherung der Daten der „Gratis Testen Aktion X-Mas 2022“ ein gravierender Fehler unterlaufen ist:

    Deine personenbezogenen Daten wie

    Vor und Nachname
    Geburtsdatum
    IBAN
    E-Mail Adresse
    IP.Adresse

    wurden außerhalb der Abwicklungssoftware auf einem Backup-Server zum Schutz gegen Datenverlust zusätzlich abgespeichert und dieser Backup-Server war, wie sich am 07.07.2023 herausgestellt hat, nicht ausreichend abgesichert. So standen Deine Daten seit Januar theoretisch ungeschützt im Internet. Nach dem aktuellen Stand der Ermittlungen haben am Tag des Bekanntwerdens vier unberechtigte Zugriffe auf diesen Server stattgefunden. Das Datenleck wurde sofort nach Bekanntwerden geschlossen und die Datenpanne auch bereits der Aufsichtsbehörde gemeldet. Für die Nachlässigkeit in der Absicherung des Backups und das menschliche Versagen bitten wir vielmals um Entschuldigung. Auch wenn wir nach jetziger Sachkenntnis davon ausgehen, dass die Daten nicht Heruntergeladen wurden und kein Schaden entstanden ist, bitten wir Dich trotzdem sicherheitshalber in der Zukunft auf etwaig unberechtigte Lastschriftverfahren zu achten. Diese können theoretisch mit fremden Bankdaten eingerichtet werden, allerdings hat man immer auch ein Jahr Zeit ein unberechtigtes Lastschriftverfahren zu widerrufen.

    Bei Fragen kannst Du uns dazu gerne unter dieser E-Mail-Adresse erreichen.

    Herzliche Grüße

    Dein TULIP-Team"
    alexbo110's Profilbild
    Habe ich bisher auch noch nicht bekommen.
    Aber die sollten mal hier mitlesen und nicht dieser Agentur alles glauben, wenn es hier bereits widerlegt worden ist mit Fakten (Stichwort 4 Zugriffe etc etc etc)!
  17. SophiaLoren's Profilbild
    Bei mir haben sie (Tulip) sich auch gemeldet:

    Hallo xx*xx

    vielen Dank für deine E-Mail. In erster Linie möchten wir uns aufrichtig für die entstandenen Probleme entschuldigen. Du wirst im Laufe des Tages eine Infomail bzgl. der Datenschutzverletzung erhalten, in der wir erklären was passiert ist und an wen du dich wenden kannst, wenn weitere Fragen auftauchen.

    Viele Grüße

    Kind regards, (bearbeitet)
    Vanessa_Eise's Profilbild
    Bei mir auch typische Copy Paste Nachricht, ich bin gespannt was da noch kommt
  18. Winx333's Profilbild
    Kann man denn jetzt mal grob in die Runde fragen, wer hat denn vor seinen Anspruch über Kleinfee geltend zu machen?
    Ich hatte so eine Situation noch nie, würde gerne mal wissen wie die Mehrheit/Community sich entscheidet/was Sie tut, um mich etwas zu orientieren.
    Der_Pate87's Profilbild
    Kleinfee hab ich bereits beauftragt.
  19. David's Profilbild
    @David @admin ich hoffe das ist ok so mit der Diskussion aber in anderen Fällen wo ihr zum Glück selbst nicht involviert wart, habt ihr ja auch den Informationsaustausch unter Betroffenen toleriert.


    natürlich. Aber eine Bitte an alle: Alles, was mit der Gustavo Gusto Aktion zusammenhängt, bitte in den entsprechenden Thread posten, damit es nicht untergeht.
  20. Clairefontaine's Profilbild
    Könnte mir ggfs. jemand (auf die schnelle) erklären, wer oder was "Kleinfee" ist und was es mit dem "12-monatigen Zugang zum Bonify Identitätsschutz" auf sich hat, den Tulip anbietet? Ist das seriös? Sollte man das machen?

    Bei mir gehts in erster Linie um die Teilnahme meiner Mutter. Ich habe zwar glaube ich auch teilgenommen, habe die Warn-Mails aber nie bekommen und habe mein Konto und meine Mailfächer eh jeden Tag im Auge, meine Mutter aber nicht.
    Einerseits möchte ich zwar natürlich nicht, dass ihre Daten irgendwo im Umlauf sind, wo sie nicht hingehören, andererseits möchte ich sie aber auch nicht weiter beunruhigen, wenn ich a) weitere Angaben oder Zustimmung von ihr brauche oder b) von den eingangs erwähnten Firmen Mails in ihr Postfach eingehen (ich muss ja wsl die Mailadresse angeben, mit der sie an der Aktion teilgenommen hat). Sie selbst schaut zwar auch nie ins Mailfach, sondern mein Vater, aber auch da möchte ich vermeiden, dass komische Fragen kommen (und nicht immer gelingt es mir, ihre Cashback-Mails zu lesen, bevor sie jemand anderes gesehen hat).
    TheKlappstuhl's Profilbild
    Kleinfee sind Anwälte, die den Anspruch gegen Provision geltend machen - die wird aber nur im Erfolgsfall fällig.
    Vorteil: Wenig bis kein Aufwand für dich, dafür keine Kosten
    Nachteil: relativ hohe Provision, also im Erfolgsfall weniger Geld für dich

    Und das andere ist ein Angebot, damit man quasi ein Jahr seine Daten im Auge hat. Ist halt eine Tochtergesellschaft der Schufa. Muss jeder für sich entscheiden, ob man das Angebot gut findet oder das als Marketing sieht
  21. RoteRose's Profilbild
    Und wie hol ich da jetzt Geld raus?
    oel's Profilbild
    Mit Geburtsdatum und Kontoverbindung einkaufen gehen.
  22. arsten's Profilbild
    Der Spaß mit brand on fire geht weiter:
    E-Mail von "Dein Tulip Team Deutschland <dein.team@tulip.de>" 21.01.2023 16:1X
    langer, kryptischer Betreff - sinngemäß: "=?utf-ACAB1312ACAB1312ACAB1312==?utf-ACAB1312ACAB1312ACAB1312==?utf-ACAB1312ACAB1312ACAB1312==?="

    "< <span style='font-size:10.0pt;mso-bidi-font-size:10.0pt;font-family:"Arial",sans-serif;mso-bidi-theme-font:minor-bidi'> Liebe*r [HIER STAND MEIN NAME],<br/> <o:p></o:p> </span> </p> <p style='margin-top:12.0pt'> Wir kommen zurück auf unsere letzte E-Mail und möchten Dir zunächst erneut unsere aufrichtige Entschuldigung aussprechen. Dein Vertrauen in unser Unternehmen ist uns äußerst wichtig und wir möchten daher weiter angemessen reagieren. <br> <br> Wir verstehen, dass Du die Entwicklungen aufmerksam verfolgst und möchten Dir daher gerne weitere Informationen und Hintergründe mitteilen. <br> <br> Wie wir Dir bereits mitgeteilt haben, ist uns am 7. Juli 2023 bekannt geworden, dass Deine persönlichen Daten aus der Gratis Testen X-Mas Aktion 2022 auf einem Backup-Server von unserem Dienstleister nicht ausreichend gesichert waren. Davon betroffen waren: Vorname, Nachname und IBAN. Ausweislich der uns zur Verfügung stehenden Server-Protokolle wurde auf das betroffene Verzeichnis insgesamt fünf Mal unbefugt zugegriffen. Bei mindestens einem der Zugriffe handelte es sich um den Zugriff durch die Person, die den Sachverhalt aufgedeckt und uns hiervon unterrichtet hat. Die meldende Person wurde kontaktiert und darauf hingewiesen, dass sie zur Löschung der Daten verpflichtet ist. Sie hat schriftlich bestätigt, dass sie die Daten gelöscht hat. Wir haben keine Anhaltspunkte dafür, dass Deine Daten missbräuchlich verwendet werden. Die Sicherheit des Backup-Servers wurde sofort wiederhergestellt. Zudem stehen wir im engen Austausch mit den zuständigen Aufsichtsbehörden. <br> <br> Dennoch möchten wir Dir proaktiv, wenn Du Interesse daran hast, kostenlos einen 12-monatigen Zugang zum <a href="bonify.de/ide…ten">Bonify Identitätsschutz</a> anbieten. Bonify monitort Deine persönlichen Daten im Internet, in sozialen Netzwerken, im Darknet und in öffentlichen Datenbanken, um einen möglichen Diebstahl, Verlust oder die Offenlegung Deiner Daten sofort zu erkennen. Wenn Deine Daten gefunden werden, wirst Du sofort benachrichtigt und erhältst einen Hinweis auf die nächsten Schritte. Wenn Du diesen Service in Anspruch nehmen willst, setze Dich mit uns unter der E-Mail-Adresse Dein.Team@Tulip.de in Verbindung. <br> <br> Falls Du Dich bereits mit einer speziellen Anfrage bei uns gemeldet hast, werden wir schnellstmöglich gesondert auf Dich zukommen. <br> <br> Wir bedanken uns für Dein Verständnis und verbleiben mit herzlichen Grüßen </p> <span style='font-size:10.0pt;mso-bidi-font-size:10.0pt;font-family:"Arial",sans-serif;mso-bidi-theme-font:minor-bidi'> <br> <b>Dein TULIP Team</b> <br> <br> <br> Danish Crown Foods Germany GmbH <br> Christoph-Probst-Weg 26, D-20251 Hamburg <br> T +49 40 5543 6030 <br> Handelsregister Hamburg HRB 125755 <br> Geschäftsführer: Christian Daub, John Faurholdt Jensen, Thorsten Pollet "

    Dass das so echt ist, würde ich denen zutrauen. Könnte aber auch, sein, dass da jemand mit den abgegriffenen Daten spielt. Aus den "nur" vier unbefugten Zugriffen aus der vorhergehenden Mail wurden fünf.
    markusp12's Profilbild
    Habe ich auch erhalten, allerdings für die Aktion 2023.
    Keine Ahnung, welcher Praktikant da wieder am Werk war.
  23. Zelda1987's Profilbild
    Habt ihr auch eine komische Mail von Tulip erhalten:
    Betreff: �������������������������
    SW911's Profilbild
    Siehe 2 Posts über Dir. Wahrscheinlich die gleiche? So kannst Du sie wenigstens vernünftig lesen.
  24. dgmx96's Profilbild
    Ist Bonify nicht von der Schufa übernommen worden?
    SW911's Profilbild
    Ja.
  25. .M_A_T_Z_E.'s Profilbild
    Habe eben diesen Coupon in meiner Payback App gefunden…

    Ob die versuchen damit den Verkauf des Produkts anzutreiben damit Geld reinkommt für die evtl. kommenden Zahlungen?


    42756265-ErQu7.jpg
    TheNittyGritty's Profilbild
    Gab es vor, währenddessen und nun auch wieder/nach dieser Aktion
  26. markusp12's Profilbild
    Mail von Tulip kam gerade...
    Naja, mit der deutschen Rechtschreibung haben sie es ja nicht so, aber wenigstens informieren sie die Leute.

    Liebe*r Teilnehmer*in,

    wir müssen Dich heute leider informieren, dass dem von uns mit der technischen Abwicklung beauftragte Dienstleister bei der Sicherung der Daten der „Gratis Testen Aktion 2023“ ein gravierender Fehler unterlaufen ist:

    Deine personenbezogenen Daten wie

    - Vor und Nachname
    - Geburtsdatum
    - IBAN
    - E-Mail Adresse
    - IP.Adresse

    wurden außerhalb der Abwicklungssoftware auf einem Backup-Server zum Schutz gegen Datenverlust zusätzlich abgespeichert und dieser Backup-Server war, wie sich am 07.07.2023 herausgestellt hat, nicht ausreichend abgesichert.

    So standen Deine Daten für einige Zeit theoretisch ungeschützt im Internet. Das Datenleck wurde sofort nach Bekanntwerden geschlossen und die Datenpanne auch bereits der Aufsichtsbehörde gemeldet. Nach jetzigem Stand der Ermittlungen hat außer der Person, die den Fehler aufgedeckt hat, niemand auf die Daten zugegriffen und sind sie entsprechend auch nicht Heruntergeladen worden.

    Für die Nachlässigkeit in der Absicherung des Backups und das menschliche Versagen bitten wir vielmals um Entschuldigung. Auch wenn wir nach jetziger Sachkenntnis davon ausgehen, dass die Daten nicht Heruntergeladen wurden und somit auch kein Schaden entstanden ist, bitten wir Dich trotzdem sicherheitshalber in der Zukunft auf etwaig unberechtigte Lastschriftverfahren zu achten. Diese können theoretisch mit fremden Bankdaten eingerichtet werden, allerdings hat man immer auch ein Jahr Zeit ein unberechtigtes Lastschriftverfahren zu widerrufen.

    Bei Fragen kannst Du uns dazu gerne unter dieser E-Mail-Adresse erreichen.

    Herzliche Grüße

    Dein TULIP-Team (bearbeitet)
    stinki's Profilbild
    Und was muss ich jetzt tun? Hab es auch grad bekommen. Das hat sich ja gelohnt für die Mini Erstattung GZG. In Zukunft mach ich da nicht mehr mit wenn das der Dank ist!
  27. yeuxbleus's Profilbild
    Ich bin normalerweise kein großer Fan davon für alles eine Diskussion zu erstellen...
    Aber sollten sich die aktuellsten Informationen aus dem Gustavo Gusto Deal bewahrheiten und es sind wirklich eine Vielzahl von GzG Aktionen des Dienstleisters betroffen, finde ich es dennoch richtig und wichtig das dieser Beitrag hier existiert. (bearbeitet)
  28. softskiller's Profilbild
    Richtig ätzend. Weil das so komplette Datensätze sind mit allem drum und dran.
    Adresse, Mail, Bank, Name evtl. Geburtsdatum etc.

    Alle Kritiker, die immer sagen, sie verkaufen ihre Daten nicht für 1€ Cashback, bekommen damit Recht.

    An wen kann man so etwas melden zwecks rechtlicher Überprüfung (ohne Anzeige)? Bundesdatenschutzbeauftragten? Verbraucherzentrale?

    Unternehmen können sich nicht mit "Ups uns ist ein Missgeschick passiert, wir haben nicht aufgepasst" raus reden. Es wird gegen Gesetze verstoßen und Schaden angerichtet. (bearbeitet)
    jannie911's Profilbild
    solche Vorgänge sollten mal in Verbrauchermagazinen im TV thematisiert werden, damit die Firmen endlich aufwachen
  29. Sebi0902's Profilbild
    Hallo zusammen,
    ich habe bei der Tulip Cashback Aktion mitgemacht und heute auch die Mail bekommen… bin dann über Google auf diesen Thread hier gestoßen.
    Ist scho krass, dass das ganze Paket mit persönlichen Daten, Kontonummer usw ungeschützt zu finden war. Werde mich auf jeden Fall auch direkt rechtlich beraten lassen und dagegen vorgehen. Wäre auch bei einer Sammelklage dabei.
  30. Berlin25's Profilbild
    Nachdem Tulip nach dem Datenleck Bonify bewirbt, wird nun Folgendes bekannt:
    Datenleck bei Schufa-Tochter Bonify: tagesschau.de/wir…tml

    Manche Geschichten kannst du dir echt nicht ausdenken.
    Foulicious's Profilbild
    Die haben echt Talent mit beiden Füßen von einer Scheiße in die nächste zu hüpfen
  31. ken's Profilbild
    Autor*in
    2 Teilnahmen bei Tulip 0 Emails…sehr komisch das ganze.
    Icecreamman's Profilbild
    das man bisher keine Mail hat heißt nichts, habe auch keine...weiß aber, dass ich betroffen bin
  32. Darkpassenger's Profilbild
    Habe auch mails aus beiden tulip aktionen bekommen. Naja Pockets lösche ich, mails kommen eh weg und geb datum .

    Aber wenn schon die xmas aktion betroffen war und hier bei niemamdem etwas war, dürfte sich der Schaden sehr in Grenzen halten.
  33. Stardust's Profilbild
    Heute auch die Mail von Tulip. Welche Kanzlei nimmt sich dem an? Werde mich auf jeden Fall einer Klage anschließen (wie bereits bei Mastercard)
    Icecreamman's Profilbild
    habe bereits versucht den Fall bei kleinfee zu melden, allerdings scheint der Button defekt zu sein...man muss das ganze Wohl per Mail melden/erörtern
  34. MartinFry's Profilbild
    Ganz gute idee, um den Überblick nicht zu verlieren, und alle aktuellsten infos zu erhalten.
  35. SophiaLoren's Profilbild
    Super vielen Dank!
  36. jannie911's Profilbild
    Sammelklage gelesen und ad hoc gedacht - da simmer dabei ... (bearbeitet)
  37. Vanessa_Eise's Profilbild
    Danke fürs erstellen dieses Threads! Müsste Tulip Bacon uns nicht langsam über die Datenpanne informieren? Immerhin müssen betroffene unverzüglich informieet werden?
  38. Kalajdo's Profilbild
    die brand ist nun wirklich on fire
  39. KNUT_DICKSON's Profilbild
    Unfreiwillig dabei bin.

    Ne Frage, wie kann man als Person ein Lastschrift Auftrag von einem anderen Konto auf sein eigenes bewerkstelligen?
    geht das im privaten Bereich überhaupt?
    Oder müssten Betrüger eine (schein)Firma haben etc.

    Wenn ich über jetzt die Iban von nem Kumpel habe, kann ich kein Lastschriftverfahren machen, dass geld von seinem Konto abzieht und aufmeinss überträgt odrr?
    Und könnte snake das mit unseren Konten? (bearbeitet)
    Geheimagent2702's Profilbild
    Geht dann anders der bestellt was auf deinen Namen an eine Adresse seiner Wahl und wird über dich abgerechnet…
  40. Nœrdy_Thugg's Profilbild
    Auf meine Rückfrage wie sie diesen Schaden entschädigen wollen kam dies:
    Guten Tag,
    vielen Dank für Deine E-Mail! Wie in der Benachrichtigung bereits zum Ausdruck gebracht, bedauern wir den Zwischenfall und das dahinterstehende menschliche Versagen zutiefst und haben alles in die Wege geleitet, um eine Wiederholung in der Zukunft zu verhindern!
    Bei aller Beunruhigung ist es aber wichtig im Blick zu behalten, dass wir nach jetziger Sachkenntnis davon ausgehen können, dass keine personenbezogenen Daten heruntergeladen wurden und somit auch kein Schaden entstanden ist. Anhand der Log-Files ist nachzuvollziehen, dass abgesehen von der Person, die den Missstand aufgedeckt und gemeldet hat, hat kein unberechtigter Zugriff stattgefunden hat.
    Bei weiteren Fragen zu diesem Fall kannst Du uns jederzeit gerne unter dieser Adresse erreichen.
    Herzliche Grüße
    Dein TULIP Team

    Wurden jetzt meine Daten geklaut oder nicht?
    In der ersten Mail haben sie ja geschrieben, dass 4 unberechtigte Zugriffe gab. Das hört sich ja schon so an, als könnten die Daten jetzt in dem falschen händen sein. (bearbeitet)
    Barney's Profilbild
    "dass wir nach jetziger Sachkenntnis davon ausgehen können, dass keine personenbezogenen Daten heruntergeladen wurden"

    Sie wurden nicht geklaut.
's Profilbild