Kurzes Langes Update zur Datenpanne bei Beate Uhse. Zuerst die offizielle Stellungnahme der Beate Uhse AG im Wortlaut:
Sehr geehrter Herr Grosse,
vielen Dank, dass Sie uns auf die fehlerhaften Sicherheitseinstellungen unseres webservers aufmerksam gemacht haben. Offenbar sind diese im Rahmen eines upgrades unseres shopsystems entstanden.
Es waren die Email-Adressdaten der Interessenten an einem unserer Weihnachtsgewinnspiele nach außen hin sichtbar. Die Anmeldung zu dem Gewinnspiel ist ganzjährig möglich. Adress-, Bank- oder Bestelldaten waren zu keiner Zeit von der Lücke betroffen und daher nicht einsehbar.
Das konkrete Problem ist bereits behoben, wir werden jedoch alle weiteren Systeme einer sorgfältigen Prüfung unterziehen.
Wir bedanken uns nochmals für Ihren Hinweis und verbleiben
mit freundlichen GrüßenAssia Tschernookoff
Leiterin Unternehmenskommunikation
Beate Uhse AG
Bemerkenswert finde ich, dass jegliches Bedauern fehlt. Zudem werde ich mit ß und Substantive immer groß geschrieben, nicht nur manchmal.
Wichtiges Update zu den Fakten. Wie Beate Uhse richtig mitteilt, waren zu keiner Zeit Bestelldaten einsehbar. Lediglich die Mailadressen, das Datum und die Uhrzeit des Einloggens auf lustkatalog.de waren ersichtlich. Ob es sich dabei um wirkliche Kunden des Versandhauses handelt, ist auch nicht klar. Andere Behauptungen sind falsch. Ich sage das nur vorsichtshalber, eh sich Medien draufstürzen, die nur mit halbem Auge mitlesen und dabei falsch abschreiben. Solls ja geben.
Wie lange die Daten einsehbar waren, kann ich nicht sagen, auf diese Frage hat Beate Uhse nicht geantwortet.
Nach dem Daten-Gau bei Uhse folgte die Verlinkung meiner Website bei Heise. Und danach der Absturz meiner Website, weil gleichzeitig auch Blogs und standard.at zu mir linkten. Das war wohl zu viel für meinen eigentlich sehr guten Hoster Hosteurope, der daraufhin das Verzeichnis /blog sperrte. Danke auch. Sehr nett, was man dann für Mails bekommt:
[…] Es befinden sich diverse Fehlermeldungen in Ihrem error.log u.a. auch das Sie die maximale Anzahl an gleichzeitigen Verbindungen (70) für Ihre Webpräsenz überschritten haben.
Bitte tragen Sie Sorge dafür, dass die Ursache für die Sperrung umgehend behoben wird.
Sobald dies geschehen ist, kontaktieren Sie bitte unseren Support[…]
Nee iss klar, die sperren meine Website und ich soll dann sagen, wann die Ursache dafür behoben ist. Wie bitte soll ich prüfen, woher meine Referrer kommen, wenn mein externer Counter gar nicht mitzählen kann? Etwa über das Logfile oder das schlimme Webalizer? Ich bitte Euch. Habe dann Torsten Kleinz angerufen und ihn gebeten, die Verlinkung zu meiner Seite von heise.de zu löschen. Danach (und einer Mail von mir) war Hosteurope dann so gnädig, mir meine Website zurückzugeben.
Ich kann’s ja nachvollziehen, dass man bei einem Webpack XL (wobei ich nicht die 2.0er Variante habe, sondern den Vorgänger) keinen Traffic wie bei großen Sites verlangen kann. Aber ein wenig Feingefühl im Umgang mit den Kunden muss doch machbar sein. Vor allem nervt dann das neuerdings unkompetente Personal an der Hotline (das war schon mal viel besser), das mit Halbsätzen wie „weiß ich nicht“ über „kann schon mal vorkommen“ bis „eigentlich keine Sache für die Hotline“ zu argumentieren versucht.
Nun, schauen wir, wie lange das noch gut geht.
Und der Vollständigkeit halber noch die Referrer:
Boocompany: Beate Uhse: Gibs mir, Du Datenschlampe!
Heul nicht! Sag was!: Beate Uhse und die Kundendaten
Netzpolitik.org: Beate Uhse GmbH: Keine Lust auf Datenschutz?
Heise.de: Beate Uhse: Tausende E-Mail-Adressen veröffentlicht
Focus Online: Datenschutzpanne bei Beate Uhse
derstandard.at: Datenpanne bei Beate Uhse
Spiegel.de: Datenschutz ist etwas anderes (im Netzwelt-Ticker, vierteMeldung)
gulli.com: Datenleck bei Sexversand (ja, man kann tolle Wortspiele machen bei dem Thema!)
Basler Zeitung: Peinliche Panne bei Beate Uhse
CTRL von blogs.taz.de: Sexkunden öffentlich im Internet
IT-Weblog: Penetrationstest bei Beate Uhse
blog.perished.de: Beate Uhse Kundendaten im Internet aufgetaucht?
T-Online.de: Pikante Datenpanne bei Beate Uhse
Tagesanzeiger.ch: Peinliche Datenpanne bei Beate Uhse
cappellmeister.com: Datengau bei Beate Uhse-Ableger lustkatalog.de
q-vadis.net: Das Netz hat ein Gedächtnis
Der Göttinger Landbote: Ich weiß, wo Du bestellt hast…
Markenpost.de: Datenschutzpanne bei Beate Uhse
Und dann konnte ich das Thema doch noch verkaufen:
stern.de: Ungeschützt bei Beate Uhse
‚Ne ganz schöne Liste geworden. (wird ständig aktualisiert) Hätte nicht gedacht, dass das so viel Staub aufwirbelt.
Bemerkenswert war die schlechte Krisen-PR von Exitec und Beate Uhse. Exitec war kurz nach 9 Uhr noch gar nicht zu erreichen, später hatte ich dann eine Mitarbeiterin dran, die erstmal sehen musste, wer überhaupt die Mail gelesen haben könnte. Später sah ich dann in den Logfiles, dass das Unternehmen wohl schon seit kurz nach 8 auf meiner Website rumstieg. Erst halb 11 war lustkatalog.de so gesichert, dass keiner mehr in die /tpl- und anderen Verzeichnisse schauen konnte. Dabei sind das im FTP-Programm wenige Klicks.
Eine Stellungnahme von Exitec gab es bis zum Nachmittag nicht. Gegen 14.30 Uhr hieß es telefonisch, man berate noch und so lange nehme man keine Stellung. Kurz vor 17 Uhr trudelte dann obige Mail von der Sprecherin der Beate Uhse AG ein. Telefonisch war sie gegen 17.50 Uhr nicht mehr erreichbar.
So, wenngleich ich bislang nicht Kunde bei Beate Uhse war, so hab ich mit der Aktion doch eines erreicht: Dass zumindest im Netz nun auch mein Name in einem Atemzug mit dem Versandhaus auftaucht. 🙂
Hallo Daniel,
es ist schon erstaunlich was du so erlebst und was sich die großen Firmen so heraus nehmen dürfen, aber da du eh schlagfertig bist und dir ohnehin eh nix gefallen lässt, solltest du dich nicht so sehr ärgern.
Mit freundlichen Grüßen
H Wölfel
Hey Dicker, Dich gibts ja auch noch. 🙂 Wer sagt denn, dass ich mich ärgere? Mach ich gar nicht. Finde das alles höchst amüsant. Hofft man nur mal, dass das Unternehmen was draus gelernt hat.
Leg Dir besser vor Deiner nächsten Superinvestigativ-Story rechtzeitig einen anständigen Server zu, der Deinen Staub in Traffic auch verträgt. Und dann auch noch beschweren, dass die Deinen Space klein drehen. Du bist doch hoffentlich kein 9,90-Journalist. Nichts für ungut.
schlimm genug das alles. nun müssen die kunden des lustkatalog nur noch auf die reindizierung bei google warten. denn während zwar die seiten nicht mehr erreichbar und auch nicht mehr im google-cache sind, findet man sie noch im index.
http://www.google.de/search?q=.....+sebastian
bin ich mal froh dass ich nicht dabei bin! 🙂
sebastian
@steffen nein, bin ich nicht. aber selbst da könnte man erwarten, dass der server nicht gleich abschaltet. klar kann ich die verstehen, auch wenns schwer fällt zu glauben, dass hier so viel los war.
Hosteurope kommt mir definitiv nicht ins Haus nach dieser schlappen Reaktion.
Wann kapieren diese Trottelhoster endlich, dass heavy traffic IHRE Chance ist sich POSITIV zu positionieren?
Last feststellen, reagieren, beobachten, dokumentieren, unauffällige Mail mit den ‚Profi-Statistikdaten‘ Daten schicken und diese unauffällig Daten zur Veröffentlichung freigeben.
Also, ich hatte auch schon mal ein Problem mit meinem (ehemaligen) Hoster, der meine Seite gesperrt hat. Die Dame am Support war dann noch so nett, mir als Grund für die Sperrung „Selber schuld“ zu antworten. Ja, es ist manchmal erstaunlich, wie freundlich und zuvorkommend man doch auf dieser Welt sein kann…
eigentlich ein Wunder das Sie überhaupt etwas verkaufen – diese Website ist ein einziges Jammerlog eines überheblichen Möchtegern Jornalisten … ist jedenfalls meine Meinung. Wirft jedem Administrator Inkompetenz vor und recherchiert selbst nicht einmal richtig … besser machen! – statt jammern. Ich habe große Lust ein Blog „Daniel Große“ Pöbelblog aufzumachen. Über Fehler anderer zu schreiben, ohne es besser zu können – oder vergleichbares aufzuweisen – typisch deutsch eben.
Viele Grüße
Thomas