213·
5 days agoGenau. Sofern nicht anderweitig geschützt. Das ist das Problem, nicht die fortlaufende ID. Persönliche Daten hinter einer zufälligen ID zu verstecken statt hinter einem Zugriffsschutz ist “security by obscurity”. Man kann immer noch mit Brute-Force die Daten bekommen. Der Zugriff ist immer noch möglich, nur dauert er eventuell länger.
Richtig wäre es gewesen jedem Link eine eindeutige Kennung zuzuordnen, die nur Zugriff auf die relevanten IDs hat.
Dieser Spinn “oh, ein Fehler, die IDs waren fortlaufend, passiert schon mal” verdeckt die beiden tatsächlichen Probleme:
- Zugriff auf persönliche Daten ohne Authentifizierung
- Unzulässige Erhebung von personenbezogenen Daten
Im Prinzip richtig, nur hat halt niemand eine TAN erwogen ausser Dir gerade. Und den Grund hast Du ja auch gerade geliefert: bringt nicht so viel
Es wäre sinnvoller einem authentifizierten User ausschliesslich Zugriff auf seine Daten zu geben.