Seit Ostern gibt’s fast täglich Neues und Unfassbares über unzureichend geschützte Netzwerke und Online-Shops: PlayStation-Network, iTunes-Store, Facebook, Sony Online Entertainment … –  keine Plattform scheint derzeit vor Hacker– und Phishing-Zugriffen gefeit zu sein. Teils war ich auch persönlich betroffen und bin es offenbar immer noch.

Wenn Sie vor ein paar Tagen diesen Beitrag in meinem Blog gelesen haben, dann wissen Sie, dass Sie die fastvoice.net-Artikel auch über Wikio finden und dort dafür abstimmen können. Das von Frankreich aus operierende europäische News- und Blog-Portal bietet aber nicht nur die Verlinkung von Beiträgen fremder Webseiten an, sondern auch das Schreiben von Blog-Artikeln auf der Wikio-Plattform selbst.

Als „Wikio-Autor“ müssen Sie sich allerdings gesondert anmelden, mit Benutzername, Passwort und E-Mail-Adresse. Anschließend können Sie Ihr Konto „personalisieren“ – zum Beispiel mit Klarname, Foto, Biografie und Webseite. Bis zum vergangenen Wochenende war mir das noch ziemlich wurscht. Wieso sollte ich neben meinem eigenen Blog noch eine andere Plattform mit zusätzlichem Content füllen?

Nun hat jedoch so ein Wikio-Konto trotzdem einen kleinen Vorteil: Bei Problemen mit den Wikio-Buttons (und die gibt’s, dazu später mehr) ist eine Service-Kontaktaufnahme angemeldet leichter als unangemeldet. Also habe ich das am Wochenende versucht und wurde prompt mit einem Mysterium konfrontiert: Meine E-Mail-Adresse (keine Junk-Mail, sondern eine, die nur ich haben kann) war bereits an einen anderen Benutzer vergeben. Also war es mir nicht möglich, ein neues Konto (etwa unter dem Benutzernamen Fastvoice) zu erstellen.

Lustigerweise bietet Wikio in diesem Fall einen simplen Service an: Wer Benutzername und Passwort „vergessen“ hat, kann sich die Daten mit einem Klick per E-Mail zuschicken lassen. Genau das tat ich – die E-Mail-Adresse stimmte ja. Und so wusste ich nach ein paar Sekunden, dass sich ein anonymer Benutzer mit meiner E-Mail als „crm826454″ registriert hatte. Damit und mit dem per E-Mail erhaltenen Passwort loggte ich mich bei Wikio ein und sah auf „meinem“ Profil, dass das Konto am 26. April 2011 eingerichtet worden war – also am Tag, nachdem mein Tunes-Store-Konto gehackt worden war.

Auf meine Nachfrage, wie und wer denn für mich ein Autorenkonto eröffnet hatte, schrieb mir der Wikio-Service heute:

Zu Ihrer E-Mail-Adresse wurde in der Tat am 26.04. ein Konto angelegt. Wir können nicht nachvollziehen, wer dafür verantwortlich ist.

Da Ihre Mail-Adresse aber öffentlich ist, kann im Prinzip jeder, der sie kennt, ein Konto erstellen. Das hat jedoch keine weiteren Auswirkungen, denn solange nur Sie selbst Zugang zu Ihrem E-Mail-Account haben, können Sie einen eventuellen Missbrauch leicht umgehen: Unter „Benutzername oder Passwort vergessen?“ (http://www.wikio.de/login?forgotten=1&referrer=/) erhalten Sie die entsprechenden Daten zu Ihrem Wikio-Account und können das Passwort ändern. Damit kann dann niemand außer Ihnen auf Ihren Account zugreifen.

Herzlichen Dank, das hatte ich ja schon erledigt. Leider konnte ich zwar das Passwort, nicht aber den seltsamen Benutzernamen ändern. Warum ist es aber überhaupt möglich, dass jemand ein Wikio-Konto mit einer fremden E-Mail-Adresse und einem beliebigen Namen eröffnen kann? Ganz einfach: Weil Wikio vor Eröffnung eines Kontos keine Verifizierungs-Mail an die angegebene Adresse schickt; ein sonst übliches Verfahren, mit dem zumindest rudimentär Missbrauch verhindert werden kann. Weitere Sicherheits-Features gibt’s offenbar auch nicht, wie Sie der Mail von Wikio entnehmen können.

Im schlimmsten Fall heißt das: Jemand nimmt Ihre (irgendwo online vorhandene) E-Mail-Adresse, meldet sich unter Ihrem Namen bei Wikio an und stellt dort eine erlogene Biografie ‚rein (zum Beispiel erfundene Gefängnisaufenthalte [schlimm!], ein „Bild“-Angestelltenverhältnis [noch schlimmer!] oder die heimliche Heirat mit Ihrer 13jährigen Cousine). Als Visitenkartenbild lädt er ein Portrait von Doktor Frankensteins Gesellenstück hoch und schreibt anschließend stimmungsvolle Blogbeiträge über Ihre Erlebnisse als Bankräuber und Kinderschänder.

Dazu brauchen Sie kein Hacker-Studium, diese Sicherheitslücke kann ein Elefant im Querformat durchschreiten. Und das Beste: Wenn Sie nicht zufällig mal selbst versuchen, sich mit Ihrer E-Mail-Adresse bei Wikio anzumelden, kriegen Sie von diesem Missbrauch gar nichts mit (außer, die Polizei steht eines Tages vor ihrer Tür und will wissen, wie das mit Ihrer Cousine und der Beute aus den Banküberfällen ist)! Ich habe Wikio dazu um eine Stellungnahme gebeten und werde sie – wenn es denn eine gibt – hier veröffentlichen. Das hier ist sie allerdings noch nicht:
Passt sehr schön zum aktuellen Fall: Die Wikio-Fehlermeldungsseite.

Und jetzt noch eine Petitesse am Rande: Seit Ende März bietet Wikio einen so genannten Boost-Button zur Einbindung in Blogs an. Seit ein paar Tagen finden Sie den auch bei mir jeweils unter den Beiträgen; damit können Sie für meine Artikel abstimmen und direkt sehen, wie viele Leser das schon getan haben (vorausgesetzt, Sie sind auf der tatsächlichen URL des Artikels – bei diesem hier http://fastvoice.net/2011/05/09/wikio-macht-missbrauch-einfach/ – und nicht auf der Print-Version, der Übersichtsseite fastvoice.net oder einer Kategorie-Übersicht).

Schon kurz nach meinen ersten Versuchen mit diesem Knopf stellte ich aber fest, dass die angezeigten Werte in meinem Blog selbst und jene der Wikio-Inhaltsseite für meine Beiträge häufig nicht übereinstimmten. Diese Diskrepanz war der Anlass für meinen hier beschriebenen vergeblichen Kontoeröffnungs-Versuch am Wochenende. Die Stellungnahme von Wikio dazu:

Bezüglich Ihrer Fragen zum Boost-Button bemühen wir uns, schnell eine Antwort zu finden. Es scheint momentan ein Bug vorzuliegen. Wir kümmern uns darum und melden uns so schnell wie möglich.

Das lässt doch tief blicken: Seit Ende März gibt’s diesen Boost-Button und bis heute hatte noch kein Wikio-Mitarbeiter gemerkt, dass er nicht richtig funktioniert. Bei diesem Tempo kann ich ja wohl kaum damit rechnen, dass Wikio noch dieses Jahr eine Verifizierung bei der Eröffnung von Autorenkonten einbaut, oder?