Kategorien: Sicherheit

Vorsicht bei myjoomla.com

Teilen

Wer in der Joomla-Welt unterwegs ist, der erlebt ja so einiges. Der neuste Fall betrifft mein gebuchter Monitoring-Service myjoomla.com, den ich für meine Kunden-Joomla!-Seiten eingesetzt hatte.

Was ist passiert?

Vergangenes Jahr, am 14. Mai 2018, habe ich 1-Jahres Abo für eine unbegrenzte Anzahl Websites bei myjoomla.com gebucht und entsprechend bezahlt (rund CHF 270.–, je nach Umrechnungskurs).

Da der Service, für das was er leistet, für mich viel zu überteuert war, habe ich das automatische Verlängern des Abos am 05. März 2019 beendet. Das Ändern der Zahlungsdaten löst automatisch eine Blockierung des Kontos aus.

Obwohl ich den Service bis zum Ende der Nutzungsdauer verwenden wollte, wurde ich augenblicklich gesperrt. Ich konnte nicht mal mehr meine Sites und Kundendaten löschen (Stichwort: DSGVO).


Werbung


Beim Nachlesen des Kleingedruckten (Terms) stellte sich heraus, dass man bei Kündigung per sofort ausgesperrt wird. Das entspricht eigentlich überhaupt nicht der gängigen Praxis. Normalerweise darf man das, wofür man gezahlt hat, auch nutzen. Nicht bei myjoomla.com

Da steht wörtlich (dt. Übersetzung):

Abonnements können in den Kontoeinstellungen jederzeit gekündigt werden, aber die Möglichkeit das Konto weiter zu nutzen (um Audits, Backups usw. durchzuführen), wird per SOFORT widerrufen, wenn du kündigst, und nicht am Ende des aktuellen Abonnementzeitraums (Monat/Jahr). Künde erst am Ende deines Abrechnungszeitraums der Nutzung, so wie das die Meisten tun……

…. Es liegt in deiner Verantwortung, das Verlängerungsdatum im Auge zu behalten.
Es hat keinen Sinn zu stöhnen, wenn du diese Bedingungen nicht lesen und akzeptieren willst und dann feststellst, dass du dein Konto nicht mehr nutzen kannst, nachdem du deine Zahlung storniert hast!

Terms, inhaltlicher Stand Februar 2019, myjoomla.com

Das wäre ja an sich nicht so tragisch, da der Service inzwischen durch eine viel bessere Lösung ersetzt wurde. Aber was passiert jetzt mit all meinen verbundenen Kunden-Sites und den hinterlegten Daten?

Obwohl der Betreiber überall beteuert, dass er DSGVO-konform sei, und jeden öffentlich als Lügner bezeichnet, der anderer Meinung ist, habe ich dort Kundendaten vieler Joomla!-Sites (IP-Adressen, Datenbankinhalte, Benutzer- & Admindaten, Infos zu Erweiterungen und Versionen, Backupinfos etc.) hinterlegt, an die ich aktuell nicht mehr ran komme.

So sieht es aus, wenn ich mein Konto nach der Kündigung mit den Joomla-Sites Daten aufrufen will:

Was musst du tun?

Solltest du ein Konto bei myjoomla.com haben, dass du beenden möchtest, musst du VOR DER KÜNDIGUNG unbedingt diese Punkte beachten:

  • Warte mit der Kündigung bis zum Vertragsende. Du verliest per sofort jeglichen Zugang zu deinen Daten, ungeachtet des gezahlten Zeitraums.
  • Lösche vor der Kündigung alle Verbindungen zum Service (inkl. Plugin). Dafür gibt es ein praktisches Removal-Tool. Dieses garantiert, dass auch die DB-Einträge, die beim Deinstallieren des Connection-Plugins stehen gelassen werden (s. Teaserbild), sauber entfernt werden.
  • Verwendest du auch den wpguru.com Service, musst du die versteckten md5-Dateien im Root der Installation ebenfalls manuell entfernen.
  • Die in den Terms verlinkte DSGVO-Richtline muss mit akzeptiert werden. (Aber aktuell ist diese Site nicht verfügbar)
  • Lege dich nicht mit dem Betreiber (Phil) an. Er postet alles auf Twitter, was ihm nicht passt (persönliche Stripe-Accountdaten, private Email-Adressen usw.) Er überwacht sämtliche Schritte, die du auf der myjoomla-Seite machst und postet sie ebenfalls, inkl. deiner Kundendaten. Verwundere dich nicht, wenn er dich öffentlich als «Idiot» oder «Lügner» bezeichnet.

Wie du siehst, hinterlässt der Service viele offene/ungeklärte datenschutzrechtliche Fragen. Gerade bei der Umsetzung der DSGVO habe ich sehr grosse Zweifel, ob das sofortige Verwehren des Zugangs zu den Kundendaten der Joomla-Installationen erlaubt ist. Weiter entfernt der Service bei der Deinstallation des Plugins seine eigenen Daten nicht vollständig.

Falls es hier Fachkundige unter den Lesern gibt, würde mich eure Einschätzung dazu sehr interessieren. Was ratet ihr in solchen Fällen? Hafte ich für meine Kunden oder der Serviceanbieter, der mir den Zugang zu den Daten verwehrt?

Bei mir hinterlässt das ganze Gebahren einen sehr ungutes Gefühl. Wer so mit zahlenden Kunden umgeht, wie wird er wohl mit deren Daten umgehen?

Update vom 02.05.2019

Nach der Veröffentlichung dieses Artikels haben mich weitere Meldungen von enttäuschten Kunden erreicht, denen dasselbe passiert ist. Leider darf ich diese hier nicht öffentlich posten, weil sie sich vor weiteren Repressalien vom Betreiber fürchten.

Stellvertretend für diese Personen, hier eine bereits veröffentlichte Bewertung auf trustpilot.com:

Da steht im gelb markierte Bereich (dt. Übersetzung):

…aber er wollte meine persönlichen Daten nicht löschen und schickte mir eine E-Mail, die mich den Kopf schütteln liess….

…falls du jemanden suchst, der dich mit Respektlosigkeit behandelt, dann bist du hier an der richtigen Stelle….

Antwort von myJoomla.com

Eine vollständige Kopie des gesamten E-Mail-Austauschs ist nun auf unserer Website veröffentlicht, damit die Leser selbst entscheiden können.

https://uk.trustpilot.com/review/myjoomla.com

Auch in diesem Beispiel werden ohne vorherige Einwilligung des Kunden, vertrauliche Kundendaten an die Öffentlichkeit getragen.

Zudem wurden nach der Veröffentlichung dieses Artikels die AGBs aus der Website entfernt und können nur noch über die Management-Konsole angesehen werden.

Angeblich sei der Grund, dass man die persönlichen Website-Daten behält, wegen der grossen Anzahl wiederkehrenden Kunden. Aha… Weiter steht da, dass das seine Bedingungen seien, die man so zu akzeptieren hätte. Die Tatsache, dass seine AGBs sich genauso an geltendes EU-Recht halten müssen, wird komplett ignoriert.

Gibt es bessere DSGVO-taugliche Lösungen?

Ja, die gibt es zum Glück! Um auf Nummer sicher zu gehen, würde ich für meine Kunden eine saubere, eigenständige Lösung anstreben. Damit habe ich alle meine Kundendaten jederzeit im Griff; ungeachtet, ob und wann ich das Abo kündige.

Roger Perren

Letzte Beiträge

Leck im Joomla! Erweiterungen Verzeichnis

Es gab ein Datenleck im Joomla! Erweiterungen Verzeichnis JED. Nutzer sollten ihre Passwörter unbedingt ändern und sicherstellen, dass das potenziell… Weiterlesen

vor 6 Tagen

Joomla! 3.9.6 Update veröffentlicht!

Das Joomla! 3.9.6 Update behebt zwei kleinere Sicherheits-Lecks sowie 27 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 2 Wochen

Google Analytics auf der Joomla-Site erzwingen

Wie man trotz Google Analytics Blocker die Besucher auf seiner Joomla-Seite tracken kann, verrate ich dir in diesem Artikel. Weiterlesen

vor 1 Monat

Bilder in Joomla! richtig optimieren

In Anlehnung an einen Artikel vor knapp vier Jahren, wollte ich schauen, was sich in der Zwischenzeit bei der Bildoptimierung… Weiterlesen

vor 1 Monat

Das Joomla! 3.9.5 veröffentlicht!

Das Joomla! 3.9.5 Update behebt eine als hoch und zwei als niedrig eingestufte Lecks sowie 24 gemeldete Probleme, die in… Weiterlesen

vor 1 Monat

Den Nicepage Template-Builder angeschaut

Ich habe mir den Template-Builder von Nicepage angeschaut. Was er kann und ob er schon bald die Joomla! Template-Clubs verdrängt,… Weiterlesen

vor 2 Monaten