Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Beate Uhse: Tausende E-Mail-Adressen veröffentlicht [Update]

Auf den Webseiten des Erotik-Konzerns waren für Jedermann Listen mit Tausenden Email-Adressen abrufbar. Sogar Google indizierte die vertraulichen Userdaten.

In Pocket speichern vorlesen Druckansicht 172 Kommentare lesen
Lesezeit: 2 Min.
Security
Von
  • Torsten Kleinz
  • Daniel Bachfeld

Panne bei Beate Uhse: Auf den Webseiten des Erotik-Konzerns waren für Jedermann Listen mit Tausenden E-Mail-Adressen abrufbar. Sogar Google indexierte die vertraulichen Userdaten.

Der Leipziger Journalist und Weblogger Daniel Große hatte bei der Recherche nach einer E-Mail-Adresse über Google eine auffällige Datei auf der zu Beate Uhse gehörigen Domain lustkatalog.de entdeckt. Neugierig geworden, fand er auf dem Server über 20 weitere Dateien, die zum Teil mehrere Tausend E-Mail-Adressen samt der Angabe eines Zugangsdatums enthielten. Realnamen oder Kontodaten sind in den Dateien aber nicht gespeichert. Betroffen sind offenbar Kunden aus Deutschland, Frankreich, den Niederlanden, Österreich und der Schweiz.

Die Datenpanne ist Folge einer ganzen Reihe von Fehlern. Offenbar hatten die Administratoren die Daten zum Zugriff auf einen Online-Adventskalender mit Video-Clips direkt auf dem Webserver gespeichert und zudem das Directory Listing auf dem Server aktiviert. So konnte sich jeder Internetnutzer einfach per Webbrowser auf dem Server umsehen. Doch damit nicht genug: Der Google-Bot fand wahrscheinlich einen Link auf die nicht-öffentlichen Verzeichnisse und indizierte kurzerhand alle Daten, die er dort vorfand. So waren die Daten nicht nur für Zufallsfunde offen, sondern auch ein einfaches und lukratives Ziel für Google-Hacks. Kriminelle nutzen die Suchmaschine systematisch, um lohnende Datenbestände oder verwundbare Skripte zu finden.

Seit Montagvormittag ist der direkte Zugriff auf die Adressdaten nicht mehr möglich. Die Beate Uhse AG war aber noch nicht für eine Stellungnahme zu erreichen.

Update:

Auf Anfrage von heise online bestätigte Beate Uhse-Sprecherin Assia Tschernookoff die Sicherheitslücke: "Es waren die Email-Adressdaten der Interessenten an einem unserer Weihnachtsgewinnspiele nach außen hin sichtbar." Adress-, Bank- oder Bestelldaten seien aber zu keiner Zeit von der Lücke betroffen und daher nicht einsehbar gewesen. Die Sicherheitslücke sei offenbar im Rahmen eines Upgrades des Shopsystems entstanden. Ob das Unternehmen die betroffenen Kunden benachrichtigen wird, konnte die Sprecherin noch nicht beantworten.

(Torsten Kleinz) / (dab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten