Auf der Suche nach einer E-Mail-Adresse im Netz bin ich gerade über komische Dinge gestolpert. Da existieren Listen auf einer Website, die nicht für Jedermann bestimmt sind: Kundendaten von Beate Uhse.
Konkret geht es um die Website lustkatalog.de, offenbar eine Website zur direkten Bestellung von Artikeln aus dem Beate-Uhse-Shop. Innerhalb dieser Website gibt es die Möglichkeit, ganz offen und frei in den Verzeichnissen spazieren zu gehen, wenn man die Deeplinks kennt. Google kennt einen davon – und was für einen: eine .csv-Datei mit einigen hundert Mailadressen von Kunden des Shops.
Offenbar handelt es sich dabei um die Logdatei zum Online-Adventskalender 2006 des Versandhauses. Innerhalb der .csv-Datei – und den anderen 25 frei zugänglichen Listen – finden sich aber auch neuere Einträge, etwa von Ende 2007, Mai 2008 oder ganz aktuell aus dem August 2008. Mitgeschnitten wurden das Datum und die Zeit des Einloggens, sowie die Mailadresse des Empfängers, der offenbar einen Newsletter von Beate Uhse bekam und dort einen Link klickte. Nicht nur .de-Adressen wurden geloggt, auch die Mailadressen von Kunden aus Frankreich, Großbritannien oder Belgien sind zu sehen. In einer Datei finden sich 1860 @-Zeichen – wobei fairerweise gesagt werden muss, dass diverse Mailadressen doppelt und dreifach eingetragen sind.
Nun fragt man sich, wer für solch eine Schlamperei verantwortlich ist. Auch dazu finden sich in den Listen Hinweise. Wie es scheint, wurde das CRM-System, das hier versagt hat, im Oktober und Anfang November 2007 ausgiebig von der betreuenden Agentur getestet. Wenn man mal von den vielen Logins einiger Mitarbeiter in den genannten Zeiträumen ausgeht. Exitec heißt die Agentur, die seit Oktober 2001 eine Tochter von Beate Uhse ist und auch andere große Namen als Referenzen anführt. Kundenpflege und Communitylösungen hat sich das Flensburger Unternehmen auf die Fahnen geschrieben. Dass die gesammelten Daten dann an die Öffentlichkeit gelangen und so für einen kleinen Datenschutzskandal sorgen, war sicher nicht gedacht.
Dummerweise geht das Versäumnis des Dienstleisters weiter, denn lustkatalog.de beherbergt offenbar auch die Websites pabo.at, einem Beate-Uhse-Erotikshop für Österreich. Auch dort finden sich so genannte Clips: Excel-Dateien mit Mailadressen von Kunden. Ungeschützt und frei zugänglich für Jeden, der erstmal einen Einstieg jenseits der normalen Index-Datei hat. Einen solchen zu finden, ist nicht schwer. Ich will trotzdem Exitec die Möglichkeit geben, sich zu äußern und vor allem die Website sicher zu machen. Daher gibt’s an dieser Stelle keinen Deeplink zu den Listen.
Update 1.9. 9.43 Uhr: Nach kurzer Rücksprache mit einer Mitarbeiterin von Exitec soll es sich nicht um Kundendaten handeln, auch nicht um Empfänger von Newslettern. Es sei „etwas anderes“. Allerdings sei die Mitarbeiterin keine Technikerin, der Fall werde geprüft, man will sich wieder melden. Diese Aussage wirkt so stümperhaft wie falsch, wenn man sich die Mailadressen mal so anschaut. Was für Daten sollen es sonst sein? Alles persönliche Bekannte des Dienstleisters? Wohl eher nicht.
Update 10.34 Uhr: Die Verzeichnisse sind nunmehr geschützt. Trotzdem wird es Monate dauern, bis die Seiten aus Google und Co. verschwunden sind.
Update 19.45 Uhr: Nachdem nun die Website wieder freigeschalten ist (Hosteurope hatte sie gesperrt, weil angeblich zu viele Zugriffe erfolgten; werde wohl wechseln müssen) noch ein paar Hinweise:
– Nein, ich habe nicht, wie manche User bei heise.de vermuten, nach meiner eigenen Mailadresse gesucht. Wenn das so wäre, würd ich das sagen, bin ja nicht prüde.
– Zu keiner Zeit waren Bestelldaten oder Adressen von Kunden einsehbar.
– Die Beate Uhse AG hat mittlerweile per Mail den Fehler eingeräumt. Es lag wohl am Upgrade des Shopsystems. Das erscheint unlogisch, ist aber die offizielle Antwort darauf. Das Shopsystem möchte ich sehen, das selbständig die Zugriffsrechte von sämtlichen auf dem Server befindlichen Verzeichnissen ändert. Nungut, man muss ja nicht alles verstehen. Ein Wort des Bedauerns findet sich in der Mail nicht.
– Ein Artikel von mir soll noch bei stern.de erscheinen.
Oha, da gibt es sogar Listen mit Daten aus 2008.
Die aktuellste Liste ist vom 4.8.2008.
Erschreckend
Korrektur: 16.8.2008
Lustig, was eine einfache Googlesuche auf der Site so zu Tage bringt 😉
Hat ja super geklappt mit dem CRM…
Dummerweise reicht obige Beschreibung vollkommen aus, um die Dateien via Google zu finden.
Sacht ma‘ pennen die alle?
Es ist halb elf!!!
Das unglaublichste daran ist ja, dass die Daten immer noch frei zugänglich sind!
Na endlich!
Guten Morgen!
Viel Spaß in den nächsten Meetings!
Sie sind schon aus Google verschwunden….
Nun, auffindbar sind sie noch, abrufbar aber nicht. Einige sind aber auch noch komplett einsehbar, trotz dass das übergeordnete Verzeichnis geschützt ist. Sehr merkwürdig. Aber vielleicht nur eine temporäre Geschichte.
Daniel: Leer mal Deinen Browser-Cache….
Da bin ich ja froh, dass ich dort nicht bestelle 😉
super sache so ein internet, hoffen wir mal die Konkurrenz hat die Daten wenigstens schon gezogen, bevor alle unsichtbar wurden – dann wäre es wenigstens chancengleich für alle. Dann hätten die ja nur die Summe gespart, die sie eh für den „legalen“ Kauf privater Daten so üblich sind in der Markteingwelt (übrigens schon lange vor dem Internet). Ob Beate das selber auch versteht ?? :o)
beate uhse hat die Panne nun eingeräumt – siehe Artikel bei Focus.de
Zu c’t bzw. heise online hat sich die Sache ebenfalls herumgesprochen:
http://www.heise.de/newsticker/meldung/115260
geht immer noch.
Tja, die Listen sind jetzt wohl aus dem Netz und die Telekom hat mit 17 Mio Kundendaten, die bekannt wurden, gleich einen draufgesetzt.
Ja. Und das hier ist keine Gratis-Werbewand. Link wurde entfernt.
Hi, super Post… weiter so. ich habe den Blog gleich mal als Favouriten aufgenommen.
Grüße,
Thomas Mitschelen 😉
Die sollten lieber keinen Online Shop betreiben, wer so einfach mit Kundendaten umgeht, sollte bestraft werden. Haben die schon mal was von Datenschutz gehört … oder noch besser die haben bestimmt einen Datenschutzbeautragten der gerade auf Reisen ist. Aber mal im Ernst, peinlich das so was immer noch möglich ist. Aber das sind nicht die einzigen die das hinbekommen, da gibt es auch welche mit dem großen T, die gleich alles offenlegen.
Gruß Hans Gerhardt