Datenleck bei Sexversand: Kundendaten von Beate Uhse offen im Netz

**gullinews** · 01. 09. 2008, 16:56

Hypothetische Situation: Man kommt zur Arbeit. Im Büro wird man nicht wie sonst höflich begrüßt, sondern erntet nur ein unterdrücktes Kichern und süffisante Kommentare über Unterleibspezifika. "Na Manni, was macht deine Gummipuppe?" oder ähnlich. Unrealistisch? Nicht zwingend, betrachtet man die Art und Weise wie zwei Erotikversandhändler, Tochterfirmen des Marktführers Beate Uhse, mit ihren Kundendaten umgehen.

Der freie Journalist Daniel Große machte gestern in seinem Blog (Seite ist wegen schwerer Verlinkung und merkwürdigem Gebaren des Hosters gerade nur per Google Cache zu erreichen) auf ein pikantes Datenleck aufmerksam: Beim Recherchieren einer E-Mail-Adresse stieß er auf mehr als 20 Datenbanken in einem per Directory Listing frei einsehbarem Verzeichnis auf dem Webserver von lustkatalog.de. Diese enthielten tausende von E-Mail-Adressen nebst Datums- und Zeitangaben.
Die Daten reichen zurück bis in das Jahr 2006. Anscheinend handelt es sich um die E-Mail-Adressen der Abonnenten eines Web-Adventskalenders mit schlüprigem Material hinter den Türchen.
Laut Große sei eine Lücke im Kundenmanagementsystem des Versandhauses für das Datenleck verantwortlich, welche die Adressdatenbank als CSV-Dateien in einem ungesicherten Verzeichnis des Webservers speichere. Google fand die Links bei seinen regulären Crawlvorgängen und indizierte sie komplett. Ebenfalls betroffen gewesen sei das österreichische Pendant des Shops, pabo.at. Die Lücke scheint mittlerweile geschlossen, dennoch sind die Listen nach wie vor über den Google Cache einsehbar. Der Konzern täte gut daran, sämtliche Spuren des Datenlecks schnellstmöglich entfernen zu lassen. Von Seiten des Versandhauses gab es bis jetzt keine öffentliche Reaktion.
CSV, das Dateiformat der Adresslisten, steht für "Comma Separated Values" (durch Kommas getrennte Werte) und wird häufig zum Im- und Export von Adresstabellen und -datenbanken verwendet. Dass Beate Uhse nicht die einzige Instanz ist, die Probleme mit frei im Web herumschwirrenden persönlichen Benutzerdaten hat, zeigt eine Stichprobe von Gulli. Eine einfache Suchanfrage nach dem Dateityp CSV, kombiniert mit einer beliebten E-Mail-Domain wie gmail.com, ergibt auf Anhieb mehrere hundert Ergebnisse. Ein Fest für Datendiebe und Spambots. (fraencko)
(via F!XMBR, danke!)

weiterlesen

**kleinad** · 01. 09. 2008, 17:25

Jetzt sucht erstmal jeder instinktiv ;P

Die scheinens behoben zu haben, aber google cache 4 life xD

**Totila** · 01. 09. 2008, 17:49

HAHAHHAHA WIE GEIL

Ich finds auf jeden fall lustig

**pl4yer** · 01. 09. 2008, 18:57

schade das keine namen dabei sind sonst würde ich glatt ma meine nachbarn suchen

fahrschueler · 01. 09. 2008, 19:05

verantwortungsbewussten Umgang mit Daten haben speziell wir von unserer Seite beizutragen

Think about it !

**oollii1979** · 01. 09. 2008, 19:38

o gott. die admins sind nicht mal in der lage in einer robots.txt anzugeben, wonach google auf der entsprechenden seite nicht suchen darf?

tja, ich weiss nciht ob das jetzt für mich persönlich schlimm sein soll, ausser natürlich, jemand schlampt mit meinen daten rum.

naja...... tja. hm.
gut. ok. dann werde ich mal nach .csv dateien suchen, in denen natürlich auch allerlei adressen drinstehen, und verklopp das für 850 euro an die verbraucherschutzzentrale

3x die woche, davon kann man leben...

wäre das eigentlich illegal? die daten sind ja frei im netz verfügbar. und das nicht immer unbedingt aus versehen.
ma guggn, vielleicht gebe ich mal die adresse von einer bank ein, oder vom bmi, oder oder oder....

**gam3r** · 01. 09. 2008, 20:03

Oh man, wer ein wenig sucht, könnte unter anderem auch auf Daten von www.gov.au stoßen. Bitter.

€dit: http://ca.gov/ ist auch dabei ...

**oollii1979** · 01. 09. 2008, 20:15

UNGLAUBLICH!

ich denke das könnte google in ein sehr schlechtes licht rücken. es muss nur was großes passieren, mit einem politiker o.ä.

öhm, darf man hier beispiele posten?
wer schon immer mal die postanschrift von unter datenschützenr berüchtigten politikern haben wollte, kann sie so finden.