Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht

31. 08. 2008 00:45

Auf der Suche nach einer E-Mail-Adresse im Netz bin ich gerade über komische Dinge gestolpert. Da existieren Listen auf einer Website, die nicht für Jedermann bestimmt sind: Kundendaten von Beate Uhse.

Konkret geht es um die Website lustkatalog.de, offenbar eine Website zur direkten Bestellung von Artikeln aus dem Beate-Uhse-Shop. Innerhalb dieser Website gibt es die Möglichkeit, ganz offen und frei in den Verzeichnissen spazieren zu gehen, wenn man die Deeplinks kennt. Google kennt einen davon – und was für einen: eine .csv-Datei mit einigen hundert Mailadressen von Kunden des Shops.

Offenbar handelt es sich dabei um die Logdatei zum Online-Adventskalender 2006 des Versandhauses. Innerhalb der .csv-Datei – und den anderen 25 frei zugänglichen Listen – finden sich aber auch neuere Einträge, etwa von Ende 2007, Mai 2008 oder ganz aktuell aus dem August 2008. Mitgeschnitten wurden das Datum und die Zeit des Einloggens, sowie die Mailadresse des Empfängers, der offenbar einen Newsletter von Beate Uhse bekam und dort einen Link klickte. Nicht nur .de-Adressen wurden geloggt, auch die Mailadressen von Kunden aus Frankreich, Großbritannien oder Belgien sind zu sehen. In einer Datei finden sich 1860 @-Zeichen – wobei fairerweise gesagt werden muss, dass diverse Mailadressen doppelt und dreifach eingetragen sind.

Nun fragt man sich, wer für solch eine Schlamperei verantwortlich ist. Auch dazu finden sich in den Listen Hinweise. Wie es scheint, wurde das CRM-System, das hier versagt hat, im Oktober und Anfang November 2007 ausgiebig von der betreuenden Agentur getestet. Wenn man mal von den vielen Logins einiger Mitarbeiter in den genannten Zeiträumen ausgeht. Exitec heißt die Agentur, die seit Oktober 2001 eine Tochter von Beate Uhse ist und auch andere große Namen als Referenzen anführt. Kundenpflege und Communitylösungen hat sich das Flensburger Unternehmen auf die Fahnen geschrieben. Dass die gesammelten Daten dann an die Öffentlichkeit gelangen und so für einen kleinen Datenschutzskandal sorgen, war sicher nicht gedacht.

Dummerweise geht das Versäumnis des Dienstleisters weiter, denn lustkatalog.de beherbergt offenbar auch die Websites pabo.at, einem Beate-Uhse-Erotikshop für Österreich. Auch dort finden sich so genannte Clips: Excel-Dateien mit Mailadressen von Kunden. Ungeschützt und frei zugänglich für Jeden, der erstmal einen Einstieg jenseits der normalen Index-Datei hat. Einen solchen zu finden, ist nicht schwer. Ich will trotzdem Exitec die Möglichkeit geben, sich zu äußern und vor allem die Website sicher zu machen. Daher gibt’s an dieser Stelle keinen Deeplink zu den Listen.

Update 1.9. 9.43 Uhr: Nach kurzer Rücksprache mit einer Mitarbeiterin von Exitec soll es sich nicht um Kundendaten handeln, auch nicht um Empfänger von Newslettern. Es sei “etwas anderes”. Allerdings sei die Mitarbeiterin keine Technikerin, der Fall werde geprüft, man will sich wieder melden. Diese Aussage wirkt so stümperhaft wie falsch, wenn man sich die Mailadressen mal so anschaut. Was für Daten sollen es sonst sein? Alles persönliche Bekannte des Dienstleisters? Wohl eher nicht.

Update 10.34 Uhr: Die Verzeichnisse sind nunmehr geschützt. Trotzdem wird es Monate dauern, bis die Seiten aus Google und Co. verschwunden sind.

Update 19.45 Uhr: Nachdem nun die Website wieder freigeschalten ist (Hosteurope hatte sie gesperrt, weil angeblich zu viele Zugriffe erfolgten; werde wohl wechseln müssen) noch ein paar Hinweise:

- Nein, ich habe nicht, wie manche User bei heise.de vermuten, nach meiner eigenen Mailadresse gesucht. Wenn das so wäre, würd ich das sagen, bin ja nicht prüde.

- Zu keiner Zeit waren Bestelldaten oder Adressen von Kunden einsehbar.

- Die Beate Uhse AG hat mittlerweile per Mail den Fehler eingeräumt. Es lag wohl am Upgrade des Shopsystems. Das erscheint unlogisch, ist aber die offizielle Antwort darauf. Das Shopsystem möchte ich sehen, das selbständig die Zugriffsrechte von sämtlichen auf dem Server befindlichen Verzeichnissen ändert. Nungut, man muss ja nicht alles verstehen. Ein Wort des Bedauerns findet sich in der Mail nicht.

- Ein Artikel von mir soll noch bei stern.de erscheinen.

Eingetütet in: Mediales, Schlimmes, Wirtschaftliches

37 Kommentare für "Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht"

C.J. August 31st, 2008 at 11:36 1
Oha, da gibt es sogar Listen mit Daten aus 2008.
Die aktuellste Liste ist vom 4.8.2008.
Erschreckend
C.J. August 31st, 2008 at 11:38 2
Korrektur: 16.8.2008
Ich bin kein blindwütiger Sicherheitsfanatiker | F!XMBR August 31st, 2008 at 15:35 3
[...] Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgehtUnseren tägliche Daten-GAU gib uns heute… [...]
Dagger August 31st, 2008 at 16:30 4
Lustig, was eine einfache Googlesuche auf der Site so zu Tage bringt

Hat ja super geklappt mit dem CRM…
jo September 1st, 2008 at 3:00 5
Dummerweise reicht obige Beschreibung vollkommen aus, um die Dateien via Google zu finden.
netzpolitik.org: » Beate Uhse GmbH: Keine Lust auf Datenschutz? » Politik in der digitalen Gesellschaft September 1st, 2008 at 3:35 6
[...] ich bin kein prüder Mensch. Wirklich nicht. Und trotzdem würde ich ungern aus einem Weblog erfahren, dass der Onlineversand, bei dem ich hin und wieder mein Sexspielzeug für einen modemlosen [...]
robert.schuppenies.de - weblog » Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht September 1st, 2008 at 8:51 7
[...] Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht [...]
blog.perished.de » Blog Archiv - perished but still open minded September 1st, 2008 at 9:27 8
[...] Internet aufgetaucht!? Kategorie(n): Aus dem Web September 1st, 2008 Heute morgen ereilte mich ein Link, der mir maximales Erstaunen ins Gesicht schrieb. Daniel Grosse ist über die Suchmaschine Google [...]
Anonymous September 1st, 2008 at 10:25 9
Sacht ma’ pennen die alle?

Es ist halb elf!!!
Anonymous September 1st, 2008 at 10:27 10
Das unglaublichste daran ist ja, dass die Daten immer noch frei zugänglich sind!
Anonymous September 1st, 2008 at 10:32 11
Na endlich!

Guten Morgen!

Viel Spaß in den nächsten Meetings!
Torsten September 1st, 2008 at 10:42 12
Sie sind schon aus Google verschwunden….
Daniel Große September 1st, 2008 at 10:48 13
Nun, auffindbar sind sie noch, abrufbar aber nicht. Einige sind aber auch noch komplett einsehbar, trotz dass das übergeordnete Verzeichnis geschützt ist. Sehr merkwürdig. Aber vielleicht nur eine temporäre Geschichte.
Torsten September 1st, 2008 at 10:54 14
Daniel: Leer mal Deinen Browser-Cache….
CTRL - alles unter Kontrolle - Öffentliche Sexkunde im Netz - tazblogs September 1st, 2008 at 11:22 15
[...] Sexkunde im Netz von Daniel Der freie Leipziger Journalist Daniel Grosse hat herausgefunden, dass die Sexspielzeughändler von Beate Uhse offenbar Kundendaten öffen…. Offenbar betrifft dies auch die zum Konzern gehörenden Portale Lustkatalog.de oder [...]
e7o.de September 1st, 2008 at 12:57 16
Trackbacking your entry……

Nachdem ich über einen äußerst interessanten Blog-Eintrag gestoßen bin, in dem über öffentlich zugängliche Listen von Beate Uhse-Besuchern berichtet wird (mittels Google Cache und ein bisschen Nachdenken findet man noch eine Liste), hab ich mich…
Diablo September 1st, 2008 at 14:46 17
Da bin ich ja froh, dass ich dort nicht bestelle
egaler September 1st, 2008 at 16:14 18
super sache so ein internet, hoffen wir mal die Konkurrenz hat die Daten wenigstens schon gezogen, bevor alle unsichtbar wurden – dann wäre es wenigstens chancengleich für alle. Dann hätten die ja nur die Summe gespart, die sie eh für den “legalen” Kauf privater Daten so üblich sind in der Markteingwelt (übrigens schon lange vor dem Internet). Ob Beate das selber auch versteht ?? )
q-vadis.net September 1st, 2008 at 16:17 19
Das Netz hat ein Gedächnis…

Es erstaunt mich immer wieder, wieviel Naivität einige Softwareentwickler und Administratoren bei dem Umgang mit Kundendaten an den Tag legen. Ein weiteres abschreckendes Beispiel lieferte jüngst Beate Uhse’s Lustkatalog. Daniel Große stieß b…
Quasipresseschau 117 | NIGHTLINE September 1st, 2008 at 19:27 20
[...] Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht [...]
Torsten September 1st, 2008 at 19:29 21
beate uhse hat die Panne nun eingeräumt – siehe Artikel bei Focus.de
axt September 1st, 2008 at 21:21 22
Zu c’t bzw. heise online hat sich die Sache ebenfalls herumgesprochen:

http://www.heise.de/newsticker/meldung/115260
superguppi September 1st, 2008 at 21:28 23
geht immer noch.
Beate Uhse, Heise und andere: Update zur Datenpanne » GROSSE WORTE September 1st, 2008 at 21:58 24
[...] Langes Update zur Datenpanne bei Beate Uhse. Zuerst die offizielle Stellungnahme der Beate Uhse AG im [...]
Daten-GAU bei Beate Uhse-Ableger lustkatalog.de : Cappellmeister September 1st, 2008 at 22:08 25
[...] du Scheiße… dürften sich die einzelnen jetzt denken, da – wie Daniel Große berichtet – sämtliche Bestelldaten für jederman einsehbar bei Google angezeigt werden. Man kann nicht sehen [...]
Lumperladen » Blog Archiv » Kreativer Kampf für Datenschutz September 1st, 2008 at 23:47 26
[...] In dieser illustren Gesellschaft darf natürlich auch Deutschland nicht fehlen: Aus deutschen Behörden verschwanden 500 Computer Datenschützer bemängeln Umgang mit Melderegisterdaten bei Adresshändlern Polizei stellt Einsatzprotokolle versehentlich ins Internet 40.000 private Datensätze versehentlich abrufbar Daten von 500.000 Bürgern lagen offen im Netz Datenschützer befürchtet Adressen aller Deutschen im Umlauf Datenantifa stellt geschlossenes Forum eines Neonazi-Netzwerks online … und ganz aktuell: Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht [...]
Datengau in “Sexy” | nerdTainment September 2nd, 2008 at 10:25 27
[...] Datengau in “Sexy” Texte Kommentieren Quelle: DanielGrosse [...]
Beate Uhse: Datenschutz nicht sexy? | www.datenschutz-ist-buergerrecht.de September 2nd, 2008 at 12:40 28
[...] Leipziger Journalist Daniel Große ist bei der Google-Suche nach einer E-Mail Adresse über eine auffällige Datei gestolpert, die auf [...]
Datenschutz wird bei Beate Uhse klein geschrieben September 3rd, 2008 at 10:34 29
[...] oder der Datenschutz wird nicht ernst genug genommen. Kürzlich fand der Leipziger Blogger, Daniel Große, bei einer Recherche nach einer E-Mail Adresse, den Zugang zu einer Liste bei Beate Uhse, die [...]
Basic Thinking Blog | iBusiness: Leztzte Chance verpasst September 3rd, 2008 at 11:06 30
[...] Datenpanne bei Beate Uhse“, wo man auf den Blogger Daniel Große verweist, der dies und jenes entdeckt hat, aber einen Link dahin spendiert man nicht, damit man bequem die Orignalquelle checken [...]
Remote Control » DAU- unseren täglichen Daten-GAU gib uns heute!!! September 3rd, 2008 at 13:23 31
[...] Na, 2007 zu Weihnachten Lust gehabt auf Sex? Wie Beate Uhse mit Kundendaten umgeht sehen wir hier »» Konkret geht es um die Website lustkatalog.de, offenbar eine Website zur direkten Bestellung von Artikeln aus dem Beate-Uhse-Shop. [Daniel Große, freier Journalist Leipzig] [...]
Datenklau geht weiter um… » Oberlehrer.de September 7th, 2008 at 10:11 32
[...] verschlampt E-Mail-Adressen im Web“). — Aufgedeckt hat den Fall der freie Journalist Daniel Große aus [...]
Feigenblog » Wochenschau: Sarah-Palin-Nacktfotos & Penis-Special September 8th, 2008 at 1:25 33
[...] gibt’s extra die berühmte neutrale Verpackung, und dann veröffentlicht das Kundenverwaltungssystem die Nutzerdaten der Beate-Uhse-Töchter Lustkatalog.de und Pabo.at im Web. Angeblich sollen es die Teilnehmer eines [...]
Preiswertkaufen October 9th, 2008 at 16:03 34
Tja, die Listen sind jetzt wohl aus dem Netz und die Telekom hat mit 17 Mio Kundendaten, die bekannt wurden, gleich einen draufgesetzt.
Daniel Große October 9th, 2008 at 16:13 35
Ja. Und das hier ist keine Gratis-Werbewand. Link wurde entfernt.
Thomas Mitschelen October 21st, 2008 at 23:32 36
Hi, super Post… weiter so. ich habe den Blog gleich mal als Favouriten aufgenommen.

Grüße,
Thomas Mitschelen
Hans Gerhardt December 5th, 2008 at 22:38 37
Die sollten lieber keinen Online Shop betreiben, wer so einfach mit Kundendaten umgeht, sollte bestraft werden. Haben die schon mal was von Datenschutz gehört … oder noch besser die haben bestimmt einen Datenschutzbeautragten der gerade auf Reisen ist. Aber mal im Ernst, peinlich das so was immer noch möglich ist. Aber das sind nicht die einzigen die das hinbekommen, da gibt es auch welche mit dem großen T, die gleich alles offenlegen.

Gruß Hans Gerhardt

Kommentar hinterlassen? Bitteschön!

Aber bitte beachten: Dein erster Kommentar auf diesem Blog ist nicht sofort für alle sichtbar. Aufgrund des hohen Spamaufkommens habe ich mich dazu entschlossen, neue Kommentatoren zu moderieren. Die Freischaltung kann mehrere Stunden oder Tage in Anspruch nehmen. Werbliche Kommentare, speziell von Möchtegern-SEOs mit MFA-Seiten sind nicht erwünscht. Als Name ist immer Vor- und/oder Nachname bzw. der Nickname zu verwenden. Keywords, die offensichtlich nur dem Suchmaschinenranking dienlich sind, werden nicht akzeptiert.

Empfehlungen

Schuldnerberatung Leipzig
Werbung
Fußpflege Taucha

Dauerbrenner

Letzte Kommentare

vogelstrauss: dazu ein kleines update, ich
TAGEWERK Personalvermittlung: Arbeitsagentur verkennt Bedarf bei Pflegekräften... Bei
Daniel Große: Ich hab zu Danken für
Thomas Wagner: Als direkt involvierter Danke ich
Andrea kleinau: Ich brauche bitte einen Anwalt

Über

Dies ist das Weblog von Daniel Große. Ich bin freier Journalist in Leipzig und veröffentliche hier ausgewählte Referenzen sowie private und berufliche Ansichten und Ereignisse. Außerdem übe ich Kritik an Online-, Print-, TV- und Rundfunkmedien oder mache mich schamlos über missglückte Pressemitteilungen und eigenartige Unternehmens-PR lustig. Das klingt nach dem, was es ist: ein unterhaltsames Blog mit breitem Themenspektrum ohne irgendeine Spezialisierung.

Projekte & Kontakt

GROSSE WORTE