Kategorien: Sicherheit

Vorsicht bei myjoomla.com

Teilen

Wer in der Joomla-Welt unterwegs ist, der erlebt ja so einiges. Der neuste Fall betrifft mein gebuchter Monitoring-Service myjoomla.com, den ich für meine Kunden-Joomla!-Seiten eingesetzt hatte.

Was ist passiert?

Vergangenes Jahr, am 14. Mai 2018, habe ich 1-Jahres Abo für eine unbegrenzte Anzahl Websites bei myjoomla.com gebucht und entsprechend bezahlt (rund CHF 270.–, je nach Umrechnungskurs).

Da der Service, für das was er leistet, für mich viel zu überteuert war, habe ich das automatische Verlängern des Abos am 05. März 2019 beendet. Das Ändern der Zahlungsdaten löst automatisch eine Blockierung des Kontos aus.

Obwohl ich den Service bis zum Ende der Nutzungsdauer verwenden wollte, wurde ich augenblicklich gesperrt. Ich konnte nicht mal mehr meine Sites und Kundendaten löschen (Stichwort: DSGVO).


Werbung


Beim Nachlesen des Kleingedruckten (Terms) stellte sich heraus, dass man bei Kündigung per sofort ausgesperrt wird. Das entspricht eigentlich überhaupt nicht der gängigen Praxis. Normalerweise darf man das, wofür man gezahlt hat, auch nutzen. Nicht bei myjoomla.com

Da steht wörtlich (dt. Übersetzung):

Abonnements können in den Kontoeinstellungen jederzeit gekündigt werden, aber die Möglichkeit das Konto weiter zu nutzen (um Audits, Backups usw. durchzuführen), wird per SOFORT widerrufen, wenn du kündigst, und nicht am Ende des aktuellen Abonnementzeitraums (Monat/Jahr). Künde erst am Ende deines Abrechnungszeitraums der Nutzung, so wie das die Meisten tun……

…. Es liegt in deiner Verantwortung, das Verlängerungsdatum im Auge zu behalten.
Es hat keinen Sinn zu stöhnen, wenn du diese Bedingungen nicht lesen und akzeptieren willst und dann feststellst, dass du dein Konto nicht mehr nutzen kannst, nachdem du deine Zahlung storniert hast!

Terms, inhaltlicher Stand Februar 2019, myjoomla.com

Das wäre ja an sich nicht so tragisch, da der Service inzwischen durch eine viel bessere Lösung ersetzt wurde. Aber was passiert jetzt mit all meinen verbundenen Kunden-Sites und den hinterlegten Daten?

Obwohl der Betreiber überall beteuert, dass er DSGVO-konform sei, und jeden öffentlich als Lügner bezeichnet, der anderer Meinung ist, habe ich dort Kundendaten vieler Joomla!-Sites (IP-Adressen, Datenbankinhalte, Benutzer- & Admindaten, Infos zu Erweiterungen und Versionen, Backupinfos etc.) hinterlegt, an die ich aktuell nicht mehr ran komme.

So sieht es aus, wenn ich mein Konto nach der Kündigung mit den Joomla-Sites Daten aufrufen will:

Was musst du tun?

Solltest du ein Konto bei myjoomla.com haben, dass du beenden möchtest, musst du VOR DER KÜNDIGUNG unbedingt diese Punkte beachten:

  • Warte mit der Kündigung bis zum Vertragsende. Du verliest per sofort jeglichen Zugang zu deinen Daten, ungeachtet des gezahlten Zeitraums.
  • Lösche vor der Kündigung alle Verbindungen zum Service (inkl. Plugin). Dafür gibt es ein praktisches Removal-Tool. Dieses garantiert, dass auch die DB-Einträge, die beim Deinstallieren des Connection-Plugins stehen gelassen werden (s. Teaserbild), sauber entfernt werden.
  • Verwendest du auch den wpguru.com Service, musst du die versteckten md5-Dateien im Root der Installation ebenfalls manuell entfernen.
  • Die in den Terms verlinkte DSGVO-Richtline muss mit akzeptiert werden. (Aber aktuell ist diese Site nicht verfügbar)
  • Lege dich nicht mit dem Betreiber (Phil) an. Er postet alles auf Twitter, was ihm nicht passt (persönliche Stripe-Accountdaten, private Email-Adressen usw.) Er überwacht sämtliche Schritte, die du auf der myjoomla-Seite machst und postet sie ebenfalls, inkl. deiner Kundendaten. Verwundere dich nicht, wenn er dich öffentlich als «Idiot» oder «Lügner» bezeichnet.

Wie du siehst, hinterlässt der Service viele offene/ungeklärte datenschutzrechtliche Fragen. Gerade bei der Umsetzung der DSGVO habe ich sehr grosse Zweifel, ob das sofortige Verwehren des Zugangs zu den Kundendaten der Joomla-Installationen erlaubt ist. Weiter entfernt der Service bei der Deinstallation des Plugins seine eigenen Daten nicht vollständig.

Falls es hier Fachkundige unter den Lesern gibt, würde mich eure Einschätzung dazu sehr interessieren. Was ratet ihr in solchen Fällen? Hafte ich für meine Kunden oder der Serviceanbieter, der mir den Zugang zu den Daten verwehrt?

Bei mir hinterlässt das ganze Gebahren einen sehr ungutes Gefühl. Wer so mit zahlenden Kunden umgeht, wie wird er wohl mit deren Daten umgehen?

Update vom 02.05.2019

Nach der Veröffentlichung dieses Artikels haben mich weitere Meldungen von enttäuschten Kunden erreicht, denen dasselbe passiert ist. Leider darf ich diese hier nicht öffentlich posten, weil sie sich vor weiteren Repressalien vom Betreiber fürchten.

Stellvertretend für diese Personen, hier eine bereits veröffentlichte Bewertung auf trustpilot.com:

Da steht im gelb markierte Bereich (dt. Übersetzung):

…aber er wollte meine persönlichen Daten nicht löschen und schickte mir eine E-Mail, die mich den Kopf schütteln liess….

…falls du jemanden suchst, der dich mit Respektlosigkeit behandelt, dann bist du hier an der richtigen Stelle….

Antwort von myJoomla.com

Eine vollständige Kopie des gesamten E-Mail-Austauschs ist nun auf unserer Website veröffentlicht, damit die Leser selbst entscheiden können.

https://uk.trustpilot.com/review/myjoomla.com

Auch in diesem Beispiel werden ohne vorherige Einwilligung des Kunden, vertrauliche Kundendaten an die Öffentlichkeit getragen.

Zudem wurden nach der Veröffentlichung dieses Artikels die AGBs aus der Website entfernt und können nur noch über die Management-Konsole angesehen werden.

Angeblich sei der Grund, dass man die persönlichen Website-Daten behält, wegen der grossen Anzahl wiederkehrenden Kunden. Aha… Weiter steht da, dass das seine Bedingungen seien, die man so zu akzeptieren hätte. Die Tatsache, dass seine AGBs sich genauso an geltendes EU-Recht halten müssen, wird komplett ignoriert.

Gibt es bessere DSGVO-taugliche Lösungen?

Ja, die gibt es zum Glück! Um auf Nummer sicher zu gehen, würde ich für meine Kunden eine saubere, eigenständige Lösung anstreben. Damit habe ich alle meine Kundendaten jederzeit im Griff; ungeachtet, ob und wann ich das Abo kündige.

Roger Perren

Letzte Beiträge

Joomla! 3.9.10 Update erschienen!

Das Joomla! 3.9.10 Update behebt ein kleines Problem, dass bei der Zuordnung eines spezifischen Templates bei mehrsprachigen Sites entstanden ist. Weiterlesen

vor 1 Woche

Joomla! 3.9.9 Update erschienen!

Das Joomla! 3.9.9 Update behebt eine kleinere Sicherheits-Lücke sowie 32 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 2 Wochen

Deine Joomla!-Site auf Diät setzen!

In all den Jahren sammelten sich viele Funktionen in Joomla! an, die man eigentlich gar nicht braucht. Diese Methode hilft… Weiterlesen

vor 3 Wochen

Joomla! 3.9.8 Update erschienen!

Das Joomla! 3.9.8 Update behebt ein kleines Problem, dass bei der Entfernung des französischsprachigen Hilfeservers in der Vorversion entstanden ist. Weiterlesen

vor 1 Monat

Joomla! 3.9.7 Update erschienen!

Das Joomla! 3.9.7 Update behebt drei kleinere Sicherheits-Lecks sowie 42 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 1 Monat

JoomGallery bekommt Update

Eine neue Initiative von JoomGallery Friends will das Projekt weiterleben lassen und hat jetzt auch ein erstes Bugfix-Update herausgebracht. Weiterlesen

vor 2 Monaten