Deutsche Version hinter dem Trennstrich === Dear Customer, we are writing to confirm that the situation has, in fact, developed exactly as badly as you suspected after our previous message about a security incident. With this message we want to update you about important recent developments. What has happened? We informed you that, as a result of a security incident caused by our enthusiastic commitment to shipping fast and thinking later, your personal data migrated from our database to one operated by people with stronger incentives and better tooling. Following that discovery, we immediately began the work to secure our legal position and reluctantly also secure our system. We initiated an investigation what that code actually does, and it does not look good. We can now confirm that the following categories of your personal data are being actively circulated, monetized, and repurposed by actors who face even fewer internal constraints than we do: First NameLast NameDate of birthGenderPassport Number (including country of issuance and expiration date)Email addressPhone NumberPhysical address informationCountry of ResidenceWe understand this may cause concern. Statistically, that concern is justified. Our legal advisors tell us to advise you to change your password, your passport, your phone number, your email provider, your gender, your name and your country of residence. We take the security of your data seriously (*1) and will continue to do so in all future communications on this topic. Good luck and godspeed. (*1) This statement is legally required and should not be interpreted as evidence. “Seriously” in this context refers to tone, not outcome. === Sehr geehrte Kundin, sehr geehrter Kunde, wir melden uns, um zu bestätigen, was Sie nach unserer letzten Nachricht zu dem Sicherheitsvorfall ohnehin schon vermutet haben: Es ist tatsächlich genau so schlimm geworden. Was ist passiert? Wie bereits angekündigt, hat ein Sicherheitsvorfall dazu geführt, dass Ihre personenbezogenen Daten unsere Systeme verlassen haben. Auslöser war unser bewährter Ansatz, erst schnell zu liefern und anschließend zu überlegen. Ihre Daten befinden sich nun in einer Umgebung, die von Personen betrieben wird, die über bessere Werkzeuge verfügen und deutlich stärkere Anreize haben, diese auch zu nutzen. Nach dieser Erkenntnis haben wir umgehend Maßnahmen ergriffen, um unsere rechtliche Position abzusichern und, eher nebenbei, auch unser System. Außerdem haben wir begonnen zu untersuchen, was der betreffende Code eigentlich macht. Die kurze Antwort lautet: nichts Gutes. Inzwischen können wir bestätigen, dass die folgenden Kategorien Ihrer personenbezogenen Daten aktiv verbreitet, zu Geld gemacht und anderweitig verwertet werden, und zwar von Akteuren, die sich noch weniger Einschränkungen auferlegen als wir: VornameNachnameGeburtsdatumGeschlechtReisepassnummer (inklusive Ausstellungsland und Ablaufdatum)E-Mail-AdresseTelefonnummerPhysische AdressdatenWohnsitzlandUns ist bewusst, dass das Anlass zur Sorge gibt. Diese Sorge ist statistisch betrachtet auch vollkommen berechtigt. Unsere Rechtsberater haben uns nahegelegt, Ihnen zu empfehlen, Ihr Passwort, Ihren Reisepass, Ihre Telefonnummer, Ihren E-Mail-Anbieter, Ihr Geschlecht, Ihren Namen sowie Ihr Wohnsitzland zu ändern. Wir nehmen die Sicherheit Ihrer Daten ernst (*1) und werden das auch in zukünftigen Mitteilungen zu diesem Thema weiterhin tun. Viel Glück. (*1) Diese Aussage ist rechtlich erforderlich und sollte nicht als Beleg missverstanden werden. „Ernst“ bezieht sich hier ausschließlich auf den Tonfall, nicht auf das Ergebnis.