Es wurde schon von vielen vermutet, nun ist es offiziell. Plum gab bekannt, dass die Session-ID über einen Referer ausgelesen wurde. Das bedeutet, dass der Betreiber einer Website sehen kann, von welcher Seite die Besucher zu ihm gelangt sind. Dazu muss der Link direkt angeklickt werden, wird nur ein neuer Tab geöffnet und die Adresse manuell eingetippt, passiert nichts.
Das ist der springende Punkt. Addons wie Linkify oder Linkification machen Textlinks, die zum Beispiel in Tickern gepostet werden, klickbar. Doch wird in diesem Fall, anders als beim Xtended-Account, kein sogenannter "Dereferer" davorgeschaltet, welcher verhindert, dass eure ID ausgelesen werden kann.
Wer nach so einem Klick auch noch seine Sitzung nicht an die IP gebunden hatte, lief -=Predator=- direkt in die Arme.
Eine schlechte Nachricht für alle, die dadurch ihre Flotte verloren haben: Die Schiffe werden leider nicht zurückerstattet, da es ohne ein Drittprogramm (wie Linkify/Linkification) nicht zu diesen Vorfällen gekommen wäre.
Eine kleine Beruhigung ist, dass von Plum Anzeige erstattet wurde.
Die Originalnachricht im Forum könnt ihr
hier lesen.