Kategoriearchiv „Sonstiges“

Gibt es ein Datenleck bei PayPal oder eBay?

Donnerstag, 13. Februar 2014

Bevor ich erkläre, wie ich auf diese Frage komme, gibt es zunächst einmal eine ganz gewöhnlich anmutende Phishing-Spam.

Diese Mail sieht auf dem ersten Blick wie das ganz normale, dumme Phishing aus; etwas, das ich hier so oft erwähne, dass ich mich hier jeden längeren Kommentares zum Inhalt und zu den Schwächen der Mail enthalte [bis auf Kurzanmerkungen in eckigen Klammern]:

Betreff: Αktuаlіѕіегung dеѕ Kоntоѕtаtuѕ
Absender: ѕervісe (at) pауpаl (punkt) de <natalie (at) studionphotography (punkt) com> [natürlich gefälscht!]

Hallo Lieber Kunde! [sic!]

Bitte helfen Sie uns dabei, Ihr ΡауΡаl-Konto wieder in Ordnung zu bringen. [sic!] Bis dahin haben wir den Zugang zu Ihrem ΡауΡаl-Konto vorübergehend eingeschränkt.

Wo liegt das Problem?

Wir möchten, dass Sie einige Ihrer Kontoinformationen bestätigen. [sic! Das ist eine tolle „Begründung“!]

Was mache ich jetzt?

Loggen Sie sich in Ihr ΡауΡаl-Konto ein und gehen Sie auf die Seite Konfliktlösungen. Dort sehen Sie, welche Informationen wir genau von Ihnen brauchen – und können sie gleich einreichen. [sic!] Und Sie sehen auf einen Blick, welche Funktionen Ihres ΡауΡаl-Kontos Sie noch nutzen können. [sic!]

Viel Einkaufsspaß mit sichererereren Zahlungen wünscht ΡауΡаl!

Copyright © 2014 ΡауΡаl. Alle Rechte vorbehalten.

Jeder Mensch mit einem bisschen Erfahrung sollte diese Mail als eine Spam und einen sehr durchschnittlichen Phishing-Versuch erkennen können, wenn sie einmal durch den Spamfilter kommt. Allein schon an der lustigen Anrede… 😉

Die Links gehen im Original natürlich nicht zu PayPal, sondern auf kryptische Subdomains in der Domain pay4lo (punkt) com, die vorgestern unter Angabe einer in Google Maps nicht auffindbaren Anschrift registriert wurde, und zwar unter anderem unter der Angabe der bemerkenswerten E-Mail-Adresse test7000 (at) yahoo (punkt) com. An den Links hängt als URI-Parameter die base64-codierte E-Mail-Adresse des Empfängers; bei einem Klick wird dem Spammer also mitgeteilt, wo die Spam angekommen ist und beklickt wurde. Oder anders gesagt: Der neugierige Klick wird Folgen haben, ganz viele Folgen, jeden Tag ein Postfach voll…

So weit der leider normale Spam- und Phishing-Wahnsinn.

Datenleck?

Was diese Spams besonders und möglicherweise sehr gefährlich macht, ist etwas anderes.

Die mir vorliegende Spam – sie wurde mir übrigens von einem Leser „zugesteckt“ – ist keine „Streumunition“, sondern sehr gezielt. Sie ging an zwei verschiedene E-Mail-Adressen, die exklusiv für PayPal (um ganz unmissverständlich zu sein: für nichts anderes) verwendet wurden. Zudem wurden die PayPal-Konten mit den beiden verschiedenen E-Mail-Adressen gegenüber verschiedenen Geschäftspartnern auf eBay verwendet.

Eine dieser E-Mail-Adressen wurde vor kurzem stillgelegt, die andere hingegen wurde neu eingerichtet und bis zum Empfang dieser Spam nur für eine einzige Transaktion verwendet.

Es gibt neben dem Menschen, der diese E-Mail-Adresse eingerichtet hat, und PayPal also zurzeit niemanden, der überhaupt von der Existenz dieser Mailadresse weiß. Es handelt sich auch nicht um eine E-Mail-Adresse, die sich mit Leichtigkeit erraten lässt, also nicht um „vorname punkt nachname at kostenlos“, die sich bequem durch Verwendung einer Namensliste generieren und durchspammen lassen.

Und natürlich kam diese Phishing-Spam nur bei den beiden für PayPal verwendeten Adressen an. Und nirgends anders.

Und das erweckt den sehr starken Eindruck, dass bei eBay oder PayPal ein Datenleck vorliegen könnte. Das ist die einfachste Erklärung dafür, wie die Phisher an diese E-Mail-Adressen gekommen sein könnten. (Der Computer, der verwendet wurde, war „sauber“.)

Neben dieser einfachen und sich unmittelbar aufdrängenden Erklärung gibt es noch einige fernerliegende mögliche Erklärungen:

Der Geschäftspartner könnte auf ungeklärtem Weg an beide Adressen gekommen sein
Die Adresse wurde für eBay-Geschäfte benutzt. Alle Kommunikation lief über eBay. Dabei wird die Mailadresse maskiert. Selbst, wenn dabei die Mailadresse auf irgendeinem Wege übertragen und anschließend von einem Trojaner abgegriffen und an die Verbrecher gesendet wurde, wäre es dabei nicht zur Offenlegung beider Adressen gekommen, da diese gegenüber verschiedenen Partnern verwendet wurden. Das wirkt also unwahrscheinlich.
Es handelt sich um E-Mail-Abhördaten
Es ist ja keine Neuigkeit, dass nahezu der gesamte E-Mail-Verkehr von Geheimdiensten der Bundesrepublik Deutschland im Rechtsfreien Raum systematisch mitgelesen und überwacht wird¹, und zwar ohne, dass die Überwacher wirksam überwacht würden. Nicht, dass ich jedem besoldeten Volksüberwacher der Bundesrepublik Deutschland jetzt neben seiner undemokratischen Gesinnung und seiner emotionalen Verrohung auch noch niederste Motive unterstellen möchte, aber es wäre verhältnismäßig einfach, an dieser Stelle eine zentrale Datenbank sämtlicher aktiv benutzer E-Mail-Adressen zu erstellen, und zwar zusammen mit dem Kontext, gegenüber welchen Kommunikationspartnern diese Adressen verwendet werden. Dass solche Auswertungen vorgenommen werden, darf als sicher erachtet werden, sie legen schließlich Beziehungen offen, die in Ermittlungen „interessant“ werden könnten. Ich weiß jetzt natürlich nicht, wie hoch der Sold unserer „werten“ Volksüberwacher ist, aber ich glaube kaum, dass er so hoch ist, dass ein paar tausend oder zehntausend Euro von der Spam-Mafia von jedem Überwacher mit finanziellen Problemen abgelehnt würden, wenn er dafür nur eine… ähm… „dezentrale Sicherheitskopie“ dieser Daten weitergibt. Für Verbrecher ist eine solche Datensammlung in jedem Fall eine Goldgrube, die sogar sechsstellige Investitionen für die Datenbeschaffung plausibel erscheinen ließe, und meine Meinung von der „Ethik“ und vom Charakter eines Menschen, der an einer anlasslosen Totalüberwachung aller Menschen in der BRD beteiligt ist, kann sich hoffentlich jeder vorstellen. Sollte dies die Quelle der Mailadressen sein, wäre eine Situation eingetreten, in der die „Sicherheitspolitik“ unter dem Banner des „Supergrundrechtes“ eines früheren Innenministers Friedrich vor allem gefährlichen Verbrechern aus der Organisierten Kriminalität nützte, ansonsten das Leben der Mehrzahl der Menschen hingegen nicht nur unfreier, sondern auch unsicherer machte. Nicht, dass mich eine solche Entwicklung überraschen würde. Sie ist für mich absehbar. Nach den vielen Datenlecks bei Unternehmungen ist es nur eine Frage der Zeit, bis es zur „Veröffentlichung“ staatlicher Datensammlungen kommt.
Zufall
Natürlich kann es hin und wieder sehr unwahrscheinliche Zufälle geben. Mit „Zufällen“ kann man – wie mit dem Eingreifen Gottes oder der UFOnauten – alles „erklären“, und deshalb erklärt man dadurch nichts.

Was ist zu tun?

Zunächst erscheint es mir sinnvoll, die „Erklärung“ Zufall auszuschließen.

Deshalb meine Frage an alle Leser: Hat jemand vergleichbare Erfahrungen gemacht? Kam es in den letzten Tagen zu gezielten Phishing-Angriffen auf E-Mail-Adressen, die nur gegenüber PayPal und eBay verwendet wurden, also für keinerlei andere Kommunikation? Wenn das mehr als nur einmal geschehen ist, handelt es sich nicht um einen Einzelfall (und diese Aussage ist mein Beitrag zur Erhöhung der Anzahl veröffentlichter Tautologien im Internet). Dann immer noch Zufall anzunehmen, wäre absurd.

Hinweise auf solche Vorgänge können in den Kommentaren hinterlegt werden. Wer dabei seinen Namen und seine Mailadresse nicht angeben möchte, denke sich einfach etwas aus! Es gibt hier keine Registrierungen, Überprüfungen, Bestätigungsmails und dergleichen, schlimmstenfalls muss ich etwas von Hand freischalten, weil der überempfindliche Spamfilter angeschlagen hat. 😉

Tatsächlich wäre eine derartige Phishing-Welle sehr gefährlich.

Ich selbst gehe so vor, dass ich für jede Registrierung und jeden von mir verwendeten Webdienst eine eigene Mailadresse einrichte, um mich gegen Phishing zu schützen (und nach einem Datenleck bequem eine spamverseuchte Mailadresse stilllegen zu können), und ich empfehle genau diese Vorgehensweise auch jedem anderen Menschen. Das war bislang ein sehr wirksamer Schutz. Der Phisher, der die jeweils verwendete Mailadresse nicht kennen kann, hat selbt dann keine Chance mit seinen Überrumpelungen, wenn ihm eine gute Masche einfällt.

Eine angebliche „PayPal-Mail“, die an die Adresse geht, die ich nur in einem gecrackten Webforum verwendet habe, kann mich nun einmal nicht sonderlich alarmieren. 😉

Das sieht schon sehr anders aus, wenn sie an die richtige Adresse geht. Das, was ein Schutz war, verschafft dem Verbrecher nun einen Vorschuss an Glaubwürdigkeit, der schnell gefährlich werden kann – alles spricht auf einmal dafür, dass es sich um eine Mail von PayPal handelt. Da kann sogar eine nicht ganz so überzeugende Formulierung große Durchschlagkraft erzielen.

In diesem Fall war die Erkennung des Phishings noch einfach. Die unpersönliche Ansprache und kleine „Strokeligkeiten“ in der Formulierung (so so, „das Konto in Ordnung bringen“ und „Informationen einreichen“) erwecken sofort einen Verdacht. Gar nicht auszudenken, was passiert, wenn derartige Adressbestände auch noch mit Klarnamen zusammengeführt werden können (die Spammer arbeiten an diesem Problem) und die Phishing-Spams von jemanden verfasst werden, der glatt und trefflich formulieren kann. Eine Erfolgsquote von mindestens zwanzig Prozent wäre dann keine Überraschung, und es wären Erfolge bei Menschen, die bislang vorsichtig und intelligent vorgegangen sind. Ich mag da ein Vorurteil haben, aber ich gehe davon aus, dass bei diesen Menschen mehr Geld abzugreifen wäre…

Grundsätzlich kann ich im Moment nur eine erhöhte Vorsicht bei allen Mails von PayPal empfehlen. Ganz wichtig dabei: PayPal versendet niemals solche Mails mit der Aufforderung, bei PayPal längst bekannte Daten durch erneute Eingabe zu bestätigen. Es handelt sich immer um Phishing. Aber auch mit unverfänglicheren Anliegen empfiehlt es sich dringend, niemals in eine Mail zu klicken und sich der Gefahr auszusetzen, im „Eifer des Gefechtes“ seine Login-Daten einem Kriminellen zu verraten. Immer die Website von PayPal im Browser aufrufen und sich nur dort anmelden! Und ja: Das gleiche gilt für Banken, Versandhäuser, S/M-Anbieter², DHL, ach, es gilt einfach immer!

Meine Aufforderung an PayPal und eBay

Bitte untersucht diese Sache genau³! Sollte sich der hier dargelegte Verdacht bestätigen, dass ein Datenleck bei PayPal oder eBay vorgelegen hat, so dass gegenüber PayPal oder eBay verwendete Mailadressen „veröffentlicht“ wurden, so kann ich nur dazu raten, sofort aktiv und klärend an die Öffentlichkeit zu treten. Das sonst verlorene Vertrauen kommt so schnell nicht zurück.

Und das könnt ihr nicht wollen.

Ich hoffe allerdings sehr, dass ich hier nur „das Gras wachsen höre“.

¹BKA, BND und „Verfassungsschutz“ machen zurzeit in vollem Umfang wahr, was Stasi und Gestapo mangels technischer Möglichkeiten der herrschenden Klasse nur versprechen konnten. Und ja, Geheimdienstler mit deinem mechanischen Ohr am Datenstrom, der du hier auch an offenen Quellen mitliest: Du bist mein Feind. Warum? Weil du dich wie ein Feind aufführst, du Arsch! Du hast nicht das Recht, zu gehorchen, wenn dir solche Aufgaben übertragen werden! Du hast „nein“ zu sagen, oder du bist schuld. Lies mal ein Geschichtsbuch, du Menschenfeind! Und entschuldige bitte, dass ich dich einfach so duze, aber der Respekt gegenüber Gestalten wie dir geht mir ab.

²S/M ist meine Abk. für „social media“. Aus Gründen. Es hat nichts mit BDSM zu tun, wer aber daran denken musste, hat den von mir gewünschten Eindruck gewonnen.

³Ich werde euch gegenüber keine Angaben darüber machen, welcher eurer Kunden mir diese Information und die Phishing-E-Mail zugesteckt hat. Es ist für euch ein Leichtes, eine E-Mail an alle eure Nutzer zu schreiben, um weitere Betroffene zu finden und eine Vorstellung vom Ausmaß des Problemes zu bekommen. Tatsächlich gehört so eine Vorgehensweise zu den ernsthaften Versuchen einer Aufklärung, zu denen ich euch dringend rate. Alles andere wird, sollte es sich nicht um einen dummen Zufall handeln, dazu führen, dass ihr jedes Vertrauen bei euren Nutzern verliert. Und mit Geldtransfers Geschäfte zu machen, setzt voraus, dass vertraut wird.

Yahoo so: Wir haben kein seriöses Geschäftsmodell…

Mittwoch, 29. Januar 2014

Keine Spam, nur ein fast unkommentiertes Zitat eines Artikels auf Heise Online, die Hervorhebung ist von mir:

Yahoos Chefin Marissa Mayer bat die Aktionäre mal wieder um Geduld. Sie setzt für das erhoffte Wiedererstarken Yahoos auf fünf Bereiche: Mobile Dienste; Videos; Tumblr, digitale Zeitschriften; Werbung, die zwischen anderen Inhalten versteckt wird

Aha, Yahoo will ungekennzeichnet Reklame in anderen Inhalten „verstecken“, diese Reklame also nicht mehr als Reklame kennzeichnen, damit die Menschen noch besser überrumpelt werden können und damit Adblocking-Techniken noch schwieriger werden. Das werden die Menschen, die auf diese Weise „beglückt“ werden, gewiss sehr mögen. Lieber Insolvenzverwalter, ich hoffe, du bekommst bald schon etwas zu tun!

(Es wird allerdings sehr schade um Flickr, wenn das zu einer derartigen Reklamebombe umgebaut wird.)

Allgegenwart der Werbung, nächster Teil…

Dienstag, 22. Oktober 2013

Keine Spam, nur ein Link auf einen Text zu „normaler“ und zu allem Überfluss leider auch legaler Reklame: Was können wir heute mal mit Werbung und PR – also mit bezahlten Lügen von professionellen Lügnern – vollmachen, um so die Menschen zu manipulieren, damit sie sich ein bisschen mehr wie gewünscht verhalten? Nehmen wir doch die Wikipedia, der vertrauen die meisten Menschen ziemlich blind, da können wir sie noch überrumpeln. Mit einem Heer von Accounts und…

Recherchen von Wikipedia-Autoren haben ergeben, dass eine Werbeagentur mit dem Namen Wiki-PR offenbar eine „Sockenpuppen-Armee“ mit Hunderten Accounts angelegt hat, um „Tausende Artikel“ über Personen, Organisationen und Produkte einzutragen […] Die Firma Wiki-PR wirbt offen damit, dass ihre 45 Wikipedia-Autoren und -Administratoren dabei behilflich sind, einen Eintrag anzulegen, der den Regeln und Maßstäben der Wikipedia entspricht

…mit zugehörigen Wikipedia-Admins.

Ich könnte kotzen!

„Job 2.0″: Shop-Spammer

Donnerstag, 29. August 2013

Der „Jobmotor Internet“, wie ein typischer Vertreter der classe politique so gern vom Netze spricht, ist angelaufen, gibt unter monoton stotternden, mechanischen Regungen schwarz stinkende Schwaden von sich und bringt Menschen in eine tolle Arbeit als professioneller Spammer auf den Websites von Online-Shops:

Beruf Bewerter: Ein Unternehmen sucht Mitarbeiter, die in Onlineshops Spam-Bewertungen zu Produkten erzeugen. Dabei soll unter wechselnden Texten immer die volle Punkt- und Sterneanzahl eingeben werden.

Weiterlesen bei golem.de – Spam: Firma sucht kommerzielle Bewerter für Onlineshops

Kurz gesagt, was ich gar nicht oft genug wiederholen kann: Kein Ort im Internet, der eigentlich der Kommunikation von Menschen dient, ist frei von Spam. Was dort „kommuniziert“ wird, wo es auch um Geld geht, ist einseitig, verlogen und trägt das Potenzial in sich, gutgläubige und unvorsichtige Menschen zu schädigen. Dafür, dass der Spamcharakter solcher „Mitteilungen“ nicht sofort auffällt…

Dem Arbeitsvertrag ist ein Leitfaden beigefügt, der den angeheuerten „Bewertern“ nahelegt, sich gleich mehrere E-Mail-Adressen anzulegen und darauf zu achten, auf den verschiedenen Plattformen einen unterschiedlichen Satzbau zu verwenden. Weiter soll natürlich immer die volle Punkt- bzw. Sternezahl gegeben werden.

…dafür sorgen die asozialen Unternehmungen schon, die Menschen für solche asoziale Spam bezahlen.

Ich empfinde es übrigens als unfassbar, dass ein „Arbeitsvertrag“, in dem so etwas wie „Wir bezahlen sie dafür, dass sie spammen, um andere Menschen mit Lügen irrezuführen“ drinsteht, in der BRD nicht sittenwidrig ist. Aber auf der anderen Seite wäre dann jedes „Geschäft“ mit jeder PR- und Werbeagentur sittenwidrig – und unser werter Gesetzgeber wird es sich doch nicht ausgerechnet mit der Brut versauen, die jetzt überall photoshop-retuschierte Gesichter mit Parteilogo drunter in den öffentlichen Blickraum stellt.

Spam ist eben eine mehr oder minder natürliche Fortsetzung dessen, was unter der Bezeichnung Werbung viel zu viel gesellschaftliches Ansehen genießt: Die gleichen Methoden, der gleiche Charakter, die gleichen Lügen, die gleiche Menschen- und Intelligenzverachtung.

Korrigiertes Verkehrsschild

Mittwoch, 10. Juli 2013

Jene Menschen, die es nicht länger hinnehmen wollen, dass das frühere Niedersachsenstadion überall als „Arena“ mit dem Namen irgendeiner Unternehmung vorneweg bezeichnet wird, jene Menschen, die das so unerträglich finden, dass sie immer wieder einmal flugs ein Verkehrsschild „korrigieren“, um ihren Unmut über diese Verpestung ihrer Heimat mit einer alles durchdringenden Reklame zu äußern, sie genießen trotz der Illegalität dieses Tuns meine volle Sympathie. Obwohl ich Sport verabscheue. Denn ich freue mich darüber, dass nicht mehr jede Umwandlung von Lebenserscheinungen in Geschäftsprozesse widerstandslos hingenommen wird, und ich wünschte mir, dass es häufiger und deutlicher zu solchen Unmutsäußerungen kommt. Die Heimat ist kein Schlussverkauf.

Gesehen auf dem Altenbekener Damm, Hannover

Das unseriöse Angebot des Tages

Freitag, 21. Juni 2013

Das unseriöse Angebot des Tages hat sich bei mir mit 42 [!] Spam-Referern in der Logdatei „vorgestellt“, damit ich (und so mancher andere) die Website [Link auf eine archivierte Version] besuchen möge. Verkauft werden soll dort die folgende Dienstleistung:

Referer spam with your domain link. More than 40,000,000 working websites. 100% results guaranteed.

Da kann man doch gar nicht widerstehen! Referer-Spam, die auf Werbung für Referer-Spam verweist. Auf einer impressumslosen Website, deren Beteiber sich lieber hinter einem Whois-Anonymisierer verschanzt, damit ihm als asozialer Spammade auch niemand das angemessene soziale Feedback gibt.

Vor allem, wenn es da dermaßen gute „Argumente“ gibt, warum ich jetzt spammen soll:

Referer spam is not against the law!
Referer spam also known as log spam or referer bombing. The technique involves making repeated web site requests using a fake referer URL that points to the advertised site. Sites that publicize their access logs, including referer statistics, will then inadvertently link back to the advertised site. These links will be indexed by search engines as they crawl the access logs.

Denn wenn es nicht gerade direkt illegal ist (zumindest in den USA scheint das so zu sein), dann ist es ja auch eine ganz tolle Sache, wenn man mit seiner Spam vor der ganzen Welt dokumentiert, dass man eine Website betreibt, von der man selbst glaubt, dass sie ohne solche Spam niemanden interessieren würde.

Solche Websites, deren Betreiber glauben, dass sie ohne Referer-Spam niemanden interessieren, sind zurzeit etwa (hoffnungslos unvollständige Liste von Spamreferern der letzten sieben Tage hier bei „Unser täglich Spam“):

Wer noch einen guten Grund dafür braucht, technische Daten wie die Referer (meistens als „Seiten, die hierher verlinken“ verklausuliert) nicht irgendwo öffentlich darzustellen, hat ihn in solchen Angeboten – außer natürlich, er möchte zur Linkschleuder auf Angebote werden, die sich nur durch Spam vermarkten lassen und hat keine Probleme damit, für solche Links eventuell zu haften.

Ich wünsche diesem Dienstleister übrigens alles Schlechte. Sollen ihm alle Zähne ausfallen, bis auf einen natürlich, damit er noch Zahnschmerzen bekommen kann!

Nicht vergessen!

Freitag, 19. April 2013

Ein Korb voller Mausefallen in einem Baumarkt, mit Hinweis neben dem Preisschild: Nicht vergessen

Hier löst ein Werber das alltägliche Problem „Hoffentlich vergesse ich jetzt nicht wieder, die Mausefallen zu kaufen“. Was wären wir nur ohne die Hilfe so großartiger Werber! 😀

„Social Media Widget“ für WordPress

Donnerstag, 11. April 2013

Plugin-Spam, die WordPress um eine im Regelfall unerwünschte Zusatzfunktion „anreichert“, ist das recht beliebte „Social Media Widget“ für WordPress.

Mitarbeiter der Sicherheitsfirma Sucuri haben das WordPress Social-Media-Widget Version 4.0 als Quelle von Spam ausgemacht. Es soll Werbe-Spam der Sorte „Pay Day Loan“ auf Webseiten einschleusen […] Das Widget führt ein PHP-Skript von einer Drittanbieter-Seite aus – der Code zum Einschleusen von Spam wurde sogar etwas optimiert.

Die ganze Geschichte gibts bei Heise Online¹

Es gibt eben keinen Kanal, über den nicht gespammt wird – die „bequemen“ Plugin-Updates und -Installationen moderner CMS- und Blogsysteme können von Schurken leicht dazu verwendet werden, aus einer persönlichen oder gar gewerblichen Website eine kriminelle Spamschleuder des üblen SEO-Packs zu machen. Das entsprechende Plugin für Joomla ist übrigens ebenfalls betroffen.

Auch, wenn mittlerweile eine bereinigte Version heruntergeladen werden kann: Ich würde einem Software-Anbieter, der sich mit Spam versucht hat, nicht das Privileg einräumen, noch einmal auf einem von mir (übrigens auch juristisch) verantworteten Serverrechner Code auszuführen. Eine Enschuldigung wie diese [Die schnelle Übelsetzung ist von mir]…

Es tut uns wirklich leid, dass wir diese Einfügung von Spam zugelassen haben. Wir haben mit unserem Plugin-Code den falschen Leuten vertraut und übernehmen die volle Verantwortung. Wir sind im Grunde genommen ein Marketing-Unternehmen, wir sind in Wirklichkeit keine Entwickler. Deshalb mussten wir für größere Updates und Verbesserungen Hilfe außerhalb unseres Hauses suchen. Einige dieser Leute betrogen uns und missbrauchten unser Vertrauen und unsere Unerfahrenheit. Wir hatten keine Vorstellung davon, dass der schädliche Code tatsächlich schädlicher Code war oder so etwas tun könnte. Wir gingen einfach nach dem, was uns von den Leuten erzählt wurde, denen wir mit dem Plugin-Code vertrauten. Wir werden diesen Fehler nicht noch einmal machen.

…wirft nicht nur die Frage auf, wie in diesem Fall über solche Sprechblasen hinausgehend das Übernehmen von Verantwortung aussehen soll; einer Verantwortung, die so richtig „voll“ übernommen wird, damit man die kalte Pflichtübung dieser Phrase auch deutlich spüre. Was wird die Entschädigung für mehrere hunderttausend Blogbetreiber sein, die infolge der SEO-Spam in ihrem Blog von Google abgestraft wurden und die in den Browsern nur noch mit einer Warnmeldung wegen schädlichen Codes angezeigt werden? Ja, Google straft Spamschleudern ab. Und wer jemals eine Leiche verstecken muss, der sollte einfach die zweite Seite eines Google-Suchergebnisses nehmen, das ist ein verdammt guter Ort, an den niemals jemand nachschauen wird.

Nein, diese Entschuldigung zusammen mit dem Rest des Textes belegt auch, dass es nicht die geringste Qualitätssicherung gegeben hat – Marketing-Leute (das sind gewerbsmäßige, also für diese ~~Sauerei~~ „Leistung“ bezahlte Lügner) wollten sich einen werbewirksamen Namen als Plugin-Entwickler machen und hatten leider von Tuten und Blasen keine Ahnung, so dass man ihnen jeden Code andrehen konnte. Warum sollten die beim nächsten Mal besser sein? Weil sie es versprechen? Mit ihrem tollen Namen „Blink Web Effects“? Nachdem sie im Support-Forum die „volle“ Verantwortung übernommen haben? Wer dabei Vertrauen schöpft, der glaubt auch an den Weihnachtsmann.

Ich bin mir sicher, dass es Alternativen zu den Plugins dieser Spamklitsche gibt, die in der Entschuldigung noch einmal deutlich gemacht hat, dass man „ihren“ Code auf keinem Server ausführen sollte, an dem einem etwas liegt.

¹Ein warmes Danke in die Karl-Wiechert-Allee, dass ich auch unter den Bedingungen des demnächst gültigen Leistungsschutzrechts bei meinem Link auf Heise ein angemessenes Zitat verwenden darf…