CRM-System<\/a>, das hier versagt hat, im Oktober und Anfang November 2007 ausgiebig von der betreuenden Agentur getestet. Wenn man mal von den vielen Logins einiger Mitarbeiter in den genannten Zeiträumen ausgeht. Exitec heißt die Agentur, die seit Oktober 2001 eine Tochter von Beate Uhse ist und auch andere große Namen als Referenzen anführt. Kundenpflege und Communitylösungen hat sich das Flensburger Unternehmen auf die Fahnen geschrieben. Dass die gesammelten Daten dann an die Öffentlichkeit gelangen und so für einen kleinen Datenschutzskandal sorgen, war sicher nicht gedacht. <\/p>\nDummerweise geht das Versäumnis des Dienstleisters weiter, denn lustkatalog.de beherbergt offenbar auch die Websites pabo.at, einem Beate-Uhse-Erotikshop für Österreich. Auch dort finden sich so genannte Clips: Excel-Dateien mit Mailadressen von Kunden. Ungeschützt und frei zugänglich für Jeden, der erstmal einen Einstieg jenseits der normalen Index-Datei hat. Einen solchen zu finden, ist nicht schwer. Ich will trotzdem Exitec die Möglichkeit geben, sich zu äußern und vor allem die Website sicher zu machen. Daher gibt’s an dieser Stelle keinen Deeplink zu den Listen.<\/p>\n
Update 1.9. 9.43 Uhr<\/strong>: Nach kurzer Rücksprache mit einer Mitarbeiterin von Exitec soll es sich nicht um Kundendaten handeln, auch nicht um Empfänger von Newslettern. Es sei „etwas anderes“. Allerdings sei die Mitarbeiterin keine Technikerin, der Fall werde geprüft, man will sich wieder melden. Diese Aussage wirkt so stümperhaft wie falsch, wenn man sich die Mailadressen mal so anschaut. Was für Daten sollen es sonst sein? Alles persönliche Bekannte des Dienstleisters? Wohl eher nicht.<\/p>\nUpdate 10.34 Uhr<\/strong>: Die Verzeichnisse sind nunmehr geschützt. Trotzdem wird es Monate dauern, bis die Seiten aus Google und Co. verschwunden sind.<\/p>\nUpdate 19.45 Uhr<\/strong>: Nachdem nun die Website wieder freigeschalten ist (Hosteurope hatte sie gesperrt, weil angeblich zu viele Zugriffe erfolgten; werde wohl wechseln müssen) noch ein paar Hinweise: <\/p>\n– Nein, ich habe nicht, wie manche User bei heise.de vermuten, nach meiner eigenen Mailadresse gesucht. Wenn das so wäre, würd ich das sagen, bin ja nicht prüde. <\/p>\n
– Zu keiner Zeit waren Bestelldaten oder Adressen von Kunden einsehbar.<\/p>\n
– Die Beate Uhse AG hat mittlerweile per Mail den Fehler eingeräumt. Es lag wohl am Upgrade des Shopsystems. Das erscheint unlogisch, ist aber die offizielle Antwort darauf. Das Shopsystem möchte ich sehen, das selbständig die Zugriffsrechte von sämtlichen auf dem Server befindlichen Verzeichnissen ändert. Nungut, man muss ja nicht alles verstehen. Ein Wort des Bedauerns findet sich in der Mail nicht.<\/p>\n
– Ein Artikel von mir soll noch bei stern.de erscheinen.<\/p>\n
![\"\"](\"http:\/\/www.danielgrosse.com\/blog\/uploads\/lustkatalog-daten.jpg\" "\\"lustkatalog-daten\\"")
Offenbar handelt es sich dabei um die Logdatei zum Online-Adventskalender 2006 des Versandhauses. Innerhalb der .csv-Datei – und den anderen 25 frei zugänglichen Listen – finden sich aber auch neuere Einträge, etwa von Ende 2007, Mai 2008 oder ganz aktuell aus dem August 2008. Mitgeschnitten wurden das Datum und die Zeit des Einloggens, sowie die Mailadresse des Empfängers, der offenbar einen Newsletter von Beate Uhse bekam und dort einen Link klickte. Nicht nur .de-Adressen wurden geloggt, auch die Mailadressen von Kunden aus Frankreich, Großbritannien oder Belgien sind zu sehen. In einer Datei finden sich 1860 @-Zeichen – wobei fairerweise gesagt werden muss, dass diverse Mailadressen doppelt und dreifach eingetragen sind. <\/p>\n