GROSSE WORTE
von Daniel Große, freier Journalist Leipzig
Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht
Author: Daniel Große31. 08. 2008 00:45
Auf der Suche nach einer E-Mail-Adresse im Netz bin ich gerade über komische Dinge gestolpert. Da existieren Listen auf einer Website, die nicht für Jedermann bestimmt sind: Kundendaten von Beate Uhse.
Konkret geht es um die Website lustkatalog.de, offenbar eine Website zur direkten Bestellung von Artikeln aus dem Beate-Uhse-Shop. Innerhalb dieser Website gibt es die Möglichkeit, ganz offen und frei in den Verzeichnissen spazieren zu gehen, wenn man die Deeplinks kennt. Google kennt einen davon – und was für einen: eine .csv-Datei mit einigen hundert Mailadressen von Kunden des Shops.
Offenbar handelt es sich dabei um die Logdatei zum Online-Adventskalender 2006 des Versandhauses. Innerhalb der .csv-Datei – und den anderen 25 frei zugänglichen Listen – finden sich aber auch neuere Einträge, etwa von Ende 2007, Mai 2008 oder ganz aktuell aus dem August 2008. Mitgeschnitten wurden das Datum und die Zeit des Einloggens, sowie die Mailadresse des Empfängers, der offenbar einen Newsletter von Beate Uhse bekam und dort einen Link klickte. Nicht nur .de-Adressen wurden geloggt, auch die Mailadressen von Kunden aus Frankreich, Großbritannien oder Belgien sind zu sehen. In einer Datei finden sich 1860 @-Zeichen – wobei fairerweise gesagt werden muss, dass diverse Mailadressen doppelt und dreifach eingetragen sind.
Nun fragt man sich, wer für solch eine Schlamperei verantwortlich ist. Auch dazu finden sich in den Listen Hinweise. Wie es scheint, wurde das CRM-System, das hier versagt hat, im Oktober und Anfang November 2007 ausgiebig von der betreuenden Agentur getestet. Wenn man mal von den vielen Logins einiger Mitarbeiter in den genannten Zeiträumen ausgeht. Exitec heißt die Agentur, die seit Oktober 2001 eine Tochter von Beate Uhse ist und auch andere große Namen als Referenzen anführt. Kundenpflege und Communitylösungen hat sich das Flensburger Unternehmen auf die Fahnen geschrieben. Dass die gesammelten Daten dann an die Öffentlichkeit gelangen und so für einen kleinen Datenschutzskandal sorgen, war sicher nicht gedacht.
Dummerweise geht das Versäumnis des Dienstleisters weiter, denn lustkatalog.de beherbergt offenbar auch die Websites pabo.at, einem Beate-Uhse-Erotikshop für Österreich. Auch dort finden sich so genannte Clips: Excel-Dateien mit Mailadressen von Kunden. Ungeschützt und frei zugänglich für Jeden, der erstmal einen Einstieg jenseits der normalen Index-Datei hat. Einen solchen zu finden, ist nicht schwer. Ich will trotzdem Exitec die Möglichkeit geben, sich zu äußern und vor allem die Website sicher zu machen. Daher gibt’s an dieser Stelle keinen Deeplink zu den Listen.
Update 1.9. 9.43 Uhr: Nach kurzer Rücksprache mit einer Mitarbeiterin von Exitec soll es sich nicht um Kundendaten handeln, auch nicht um Empfänger von Newslettern. Es sei “etwas anderes”. Allerdings sei die Mitarbeiterin keine Technikerin, der Fall werde geprüft, man will sich wieder melden. Diese Aussage wirkt so stümperhaft wie falsch, wenn man sich die Mailadressen mal so anschaut. Was für Daten sollen es sonst sein? Alles persönliche Bekannte des Dienstleisters? Wohl eher nicht.
Update 10.34 Uhr: Die Verzeichnisse sind nunmehr geschützt. Trotzdem wird es Monate dauern, bis die Seiten aus Google und Co. verschwunden sind.
Update 19.45 Uhr: Nachdem nun die Website wieder freigeschalten ist (Hosteurope hatte sie gesperrt, weil angeblich zu viele Zugriffe erfolgten; werde wohl wechseln müssen) noch ein paar Hinweise:
– Nein, ich habe nicht, wie manche User bei heise.de vermuten, nach meiner eigenen Mailadresse gesucht. Wenn das so wäre, würd ich das sagen, bin ja nicht prüde. – Zu keiner Zeit waren Bestelldaten oder Adressen von Kunden einsehbar. – Die Beate Uhse AG hat mittlerweile per Mail den Fehler eingeräumt. Es lag wohl am Upgrade des Shopsystems. Das erscheint unlogisch, ist aber die offizielle Antwort darauf. Das Shopsystem möchte ich sehen, das selbständig die Zugriffsrechte von sämtlichen auf dem Server befindlichen Verzeichnissen ändert. Nungut, man muss ja nicht alles verstehen. Ein Wort des Bedauerns findet sich in der Mail nicht. – Ein Artikel von mir soll noch bei stern.de erscheinen.Immer aktuell
Empfehlungen
Photos bei flickr
Kategorien
- Alltägliches
- Anderes
- Belangloses
- Erlebtes
- Featured
- GC Games Convention
- Getestetes
- Jugendliches
- Kulturelles
- Lokales
- Lustiges
- Mediales
- Motorisiertes
- Musikalisches
- Persönliches
- Politisches
- Schlimmes
- Sentimentales
- Spam macht keinen Spaß
- Spam macht Spaß
- Sportliches
- Tierisches
- Trauriges
- Werbliches
- Wirtschaftliches
Letzte Kommentare
- Daniel Große: Ja, ich hab den Film
- He-Ka-Te: Herzlichen Glückwunsch zum Auffinden dieses
- Uwe Schneider will die Hörerzahlen verdoppeln: [...] Daniel Große, einer der
- dimido: Wünsche dir auch ein frohes
- Axel: Hey Uwe trommel die Teens
- DEV107: @visler Erst den Kommentar lesen, dann
- Daniel Große: Meine Güte, so ein qualifizierter
- visler: @DEV107 - erst Gesetzt lesen,
- derherold: Ich weiß nicht, ob wirklich
- Uwe Schneider: “Unser Ziel ist, die Hörerzahlen zu verdoppeln”: [...] wirklich viele Journalisten in
Über
Twitter & Me
Projekte & Referenzen
BlogSolution
GC-Blog
Hobby360°
AMI-Blog
Zille-Winkel Bau-Blog
4und20.net
Gastro-Text
Deborah Sasson
Medienrauschen
Heldenstadt
Links
- Karen Arnold
- Leipziger Internet Zeitung
- Leipzig Blogs
- Comedynetwork
- axebase.net
- Gohglmohsch
- Komarow-Treffen
- Kauf Zahnarztpraxis
Archiv
- January 2009
- December 2008
- November 2008
- October 2008
- September 2008
- August 2008
- July 2008
- June 2008
- May 2008
- April 2008
- March 2008
- February 2008
- January 2008
- December 2007
- November 2007
- October 2007
- September 2007
- August 2007
- July 2007
- June 2007
- May 2007
- April 2007
- March 2007
- February 2007
- January 2007
- December 2006
- November 2006
- October 2006
- September 2006
- August 2006
- July 2006
- June 2006
- May 2006
- March 2006
- February 2006
- January 2006
- December 2005
- November 2005
- October 2005
- September 2005
- August 2005
- July 2005
- June 2005
Meta
37 Kommentare für "Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht"
Oha, da gibt es sogar Listen mit Daten aus 2008.
Die aktuellste Liste ist vom 4.8.2008.
Erschreckend
Korrektur: 16.8.2008
[...] Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgehtUnseren tägliche Daten-GAU gib uns heute… [...]
Lustig, was eine einfache Googlesuche auf der Site so zu Tage bringt
Hat ja super geklappt mit dem CRM…
Dummerweise reicht obige Beschreibung vollkommen aus, um die Dateien via Google zu finden.
[...] ich bin kein prüder Mensch. Wirklich nicht. Und trotzdem würde ich ungern aus einem Weblog erfahren, dass der Onlineversand, bei dem ich hin und wieder mein Sexspielzeug für einen modemlosen [...]
[...] Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht [...]
[...] Internet aufgetaucht!? Kategorie(n): Aus dem Web September 1st, 2008 Heute morgen ereilte mich ein Link, der mir maximales Erstaunen ins Gesicht schrieb. Daniel Grosse ist über die Suchmaschine Google [...]
Sacht ma’ pennen die alle?
Es ist halb elf
Das unglaublichste daran ist ja, dass die Daten immer noch frei zugänglich sind!
Na endlich!
Guten Morgen!
Viel Spaß in den nächsten Meetings!
Sie sind schon aus Google verschwunden….
Nun, auffindbar sind sie noch, abrufbar aber nicht. Einige sind aber auch noch komplett einsehbar, trotz dass das übergeordnete Verzeichnis geschützt ist. Sehr merkwürdig. Aber vielleicht nur eine temporäre Geschichte.
Daniel: Leer mal Deinen Browser-Cache….
[...] Sexkunde im Netz von Daniel Der freie Leipziger Journalist Daniel Grosse hat herausgefunden, dass die Sexspielzeughändler von Beate Uhse offenbar Kundendaten öffen…. Offenbar betrifft dies auch die zum Konzern gehörenden Portale Lustkatalog.de oder [...]
Trackbacking your entry…...
Nachdem ich über einen äußerst interessanten Blog-Eintrag gestoßen bin, in dem über öffentlich zugängliche Listen von Beate Uhse-Besuchern berichtet wird (mittels Google Cache und ein bisschen Nachdenken findet man noch eine Liste), hab ich mich…
Da bin ich ja froh, dass ich dort nicht bestelle
super sache so ein internet, hoffen wir mal die Konkurrenz hat die Daten wenigstens schon gezogen, bevor alle unsichtbar wurden – dann wäre es wenigstens chancengleich für alle. Dann hätten die ja nur die Summe gespart, die sie eh für den “legalen” Kauf privater Daten so üblich sind in der Markteingwelt (übrigens schon lange vor dem Internet). Ob Beate das selber auch versteht ?? :o)
Das Netz hat ein Gedächnis…
Es erstaunt mich immer wieder, wieviel Naivität einige Softwareentwickler und Administratoren bei dem Umgang mit Kundendaten an den Tag legen. Ein weiteres abschreckendes Beispiel lieferte jüngst Beate Uhse’s Lustkatalog. Daniel Große stieß b…
[...] Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht [...]
beate uhse hat die Panne nun eingeräumt – siehe Artikel bei Focus.de
Zu c’t bzw. heise online hat sich die Sache ebenfalls herumgesprochen:
http://www.heise.de/newsticker/meldung/115260
geht immer noch.
[...] Langes Update zur Datenpanne bei Beate Uhse. Zuerst die offizielle Stellungnahme der Beate Uhse AG im [...]
[...] du Scheiße… dürften sich die einzelnen jetzt denken, da – wie Daniel Große berichtet – sämtliche Bestelldaten für jederman einsehbar bei Google angezeigt werden. Man kann nicht sehen [...]
[...] In dieser illustren Gesellschaft darf natürlich auch Deutschland nicht fehlen: Aus deutschen Behörden verschwanden 500 Computer Datenschützer bemängeln Umgang mit Melderegisterdaten bei Adresshändlern Polizei stellt Einsatzprotokolle versehentlich ins Internet 40.000 private Datensätze versehentlich abrufbar Daten von 500.000 Bürgern lagen offen im Netz Datenschützer befürchtet Adressen aller Deutschen im Umlauf Datenantifa stellt geschlossenes Forum eines Neonazi-Netzwerks online … und ganz aktuell: Na, Weihnachten Lust gehabt? Wie Beate Uhse mit Kundendaten umgeht [...]
[...] Datengau in “Sexy” Texte Kommentieren Quelle: DanielGrosse [...]
[...] Leipziger Journalist Daniel Große ist bei der Google-Suche nach einer E-Mail Adresse über eine auffällige Datei gestolpert, die auf [...]
[...] oder der Datenschutz wird nicht ernst genug genommen. Kürzlich fand der Leipziger Blogger, Daniel Große, bei einer Recherche nach einer E-Mail Adresse, den Zugang zu einer Liste bei Beate Uhse, die [...]
[...] Datenpanne bei Beate Uhse“, wo man auf den Blogger Daniel Große verweist, der dies und jenes entdeckt hat, aber einen Link dahin spendiert man nicht, damit man bequem die Orignalquelle checken [...]
[...] Na, 2007 zu Weihnachten Lust gehabt auf Sex? Wie Beate Uhse mit Kundendaten umgeht sehen wir hier »» Konkret geht es um die Website lustkatalog.de, offenbar eine Website zur direkten Bestellung von Artikeln aus dem Beate-Uhse-Shop. [Daniel Große, freier Journalist Leipzig] [...]
[...] verschlampt E-Mail-Adressen im Web“). — Aufgedeckt hat den Fall der freie Journalist Daniel Große aus [...]
[...] gibt’s extra die berühmte neutrale Verpackung, und dann veröffentlicht das Kundenverwaltungssystem die Nutzerdaten der Beate-Uhse-Töchter Lustkatalog.de und Pabo.at im Web. Angeblich sollen es die Teilnehmer eines [...]
Tja, die Listen sind jetzt wohl aus dem Netz und die Telekom hat mit 17 Mio Kundendaten, die bekannt wurden, gleich einen draufgesetzt.
Ja. Und das hier ist keine Gratis-Werbewand. Link wurde entfernt.
Hi, super Post… weiter so. ich habe den Blog gleich mal als Favouriten aufgenommen.
Grüße,
Thomas Mitschelen
Die sollten lieber keinen Online Shop betreiben, wer so einfach mit Kundendaten umgeht, sollte bestraft werden. Haben die schon mal was von Datenschutz gehört … oder noch besser die haben bestimmt einen Datenschutzbeautragten der gerade auf Reisen ist. Aber mal im Ernst, peinlich das so was immer noch möglich ist. Aber das sind nicht die einzigen die das hinbekommen, da gibt es auch welche mit dem großen T, die gleich alles offenlegen.
Gruß Hans Gerhardt
Leave a reply