Beate Uhse GmbH: Keine Lust auf Datenschutz? (Update II)

Ok, ich bin kein prüder Mensch. Wirklich nicht. Und trotzdem würde ich ungern aus einem Weblog erfahren, dass der Onlineversand, bei dem ich hin und wieder mein Sexspielzeug für modemlose Nachbarn bestelle, seine Kundenlisten weböffentlich ins Netz stellt.

Also, wenn ich denn Sexspielzeug für modemlose Nachbarn bestellen würde, natürlich. Oder wenn ich diese Kunden bei Lustkatalog.de oder Pabo.at (gehören beide zur Beate Uhse Gruppe) wären. Die tun das nämlich, wie es scheint. Also, die Mailadressen von Kunden weböffentlich ins Netz stellen.* Wie unschön.

Die komplette Geschichte gibt es bei Daniel Große. Die Daten nach einer geeigneten Suchanfrage via Google ,(

*Und nicht nur das.

(via Tim Pritlove)

Update: Bei Daniel gibt es ein Update:

Update 1.9. 9.43 Uhr: Nach kurzer Rücksprache mit einer Mitarbeiterin von Exitec soll es sich nicht um Kundendaten handeln, auch nicht um Empfänger von Newslettern. Es sei “etwas anderes”.

Natürlich.

Update II, 01.09.:

Inzwischen finden sich auch bei Heise Online und Focus Online Berichte über die Datenpanne. Gegenüber Focus Online bestätigte eine Unternehmenssprecherin:

„Die E-Mail-Adressdaten der Interessenten an einem unserer Weihnachtsgewinnspiele waren nach außen hin sichtbar. Adress-, Bank- oder Bestelldaten waren zu keiner Zeit von der Lücke betroffen und daher nicht einsehbar.“

Ein „Weihnachtsgewinnspiel“ mit .csv-Snapshots im Sommer? Aber bitte, warum nicht. Ob man die betroffenen Kunden informieren werde, ließ das Unternehmen offen.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

17 Ergänzungen

    1. Nein, da zeigt sich, dass man außer den Dingen, die qua Filetype automatisch ausgeführt werden, und statischem Zubehör (JS/CSS/Grafik) nichts, aber auch gar nichts, unterhalb des Server-Roots halten darf.

      Keine Config, keinen Debug-Output, keine Logs und schon gar keine Nutzerdaten.

  1. Also ich bekomme bei einer entsprechenden Eingabe zwei Ergebnisse, von denen das erste noch im Google-Chache drin ist.
    Der aktuellste Eintrag in dem Log bezieht sich auf den 30.09.2007, ist also nicht allzu aktuell.

  2. also Google wirft – wenn man scharr.csv als Suchbegriff eingibt – gleich mal die Kundenliste von http://www.[–snip–].de aus. Ist auch ermutigend, gerade für Kunden. 520 Datensätze mit voller Adresse, e-mail, Telefon, Wohn-Quadratmetern und dort eingebauter Heiztechnik. Supi!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.