Hallo,

[...] wenn Du eine kommerzielle Seite betreibst und nicht dafür sorgen kannst, dass dem so ist, ist die Überlegung eine solche Dienstleistung einzukaufen völlig okay.

Im Prinzip ja. Ich überlege mir das sogar, wenn ich die Lücke(n) nicht bald selber finde. Totzdem bin ich, gelinde gesagt, sehr erstaunt. Wenn ich das Angebot annehme, muss derjenige sich ausser mit seiner Mail-Adresse auch sonst völlig zu erkennen geben, d.h. mindestens seine Kontoverbindung angeben, damit ich ihm für seine "Hilfe" danken kann.
Das würde aber bedeuten, dass er sich im Recht fühlt so vorzugehen, d.h. sich auf diese Weise Kunden für seine doch irgendwie zweifelhaften Dienste zu verschaffen. Man sollte doch meinen, dass sowas nicht erlaubt ist. Es ist ja auch nicht erlaubt, ungebeten in irgend ein Haus einzudringen, um anschließend dem Besitzer mit besseren Argumenten eine Alarmanlage verkaufen zu können.

Du könntest auch einfach versuchen, die Lücken selbst zu finden. Jetzt weißt du ja, dass es welche gibt. Etwas in den Logs umsehen, dann wirst du bestimmt etwas finden.

Eine Idee habe ich da schon. Werde mich natürlich umgehend darum kümmern.

IMHO ist es erst dann ein Verstoß gegen das Gesetz, wenn trotz ausreichender Sicherung Zugriff auf irgendwelche Daten erlangt wird. Wenn irgendwo auf dem Server nen DB-Dump liegt [...]

Ein DB-Dump liegt nicht gerade frei herum. Ich vermute eine geschickte SQL-Injektion oder sowas. Muss die Logs und den Quellcode nochmal genau daraufin untersuchen. Über normale Eingabemasken geht es jedenfalls nicht, das ist sicher. Es muss schon ein ziemlich ausgebuffter Bursche sein...

Gruß, Gecrackter