Sicherheitslücke: Datenleck bei Erotikversandhändler Amorelie

Über eine Sicherheitslücke waren Bestellungen beim Erotikversandhändler Amorelie einsehbar.

Artikel veröffentlicht am ,
Wer wohl dieses Sexspielzeug gekauft hat?
Wer wohl dieses Sexspielzeug gekauft hat? (Bild: RJA1988/Pixabay)

Amorelie, ein Versandhändler für Erotikartikel und Sextoys, hat seine Kunden in den vergangenen Tagen über ein umfangreiches Datenleck in Kenntnis gesetzt. Betroffen seien die Daten der aufgegebenen Bestellungen, aber auch Namen und E-Mail-Adressen aller zwischen 2013 und Mai 2020 registrierten Kunden.

Stellenmarkt
  1. IT-Betreuer (m/w/d)
    Kommunale Unfallversicherung Bayern, München
  2. Produckt Owner - Master Data Architecture and Costumer Interface (m/w/d)
    LEDVANCE GmbH, Garching
Detailsuche

Über eine Sicherheitslücke sei es möglich gewesen, auf die Daten zuzugreifen. Bei den einsehbaren Bestellvorgängen habe es sich neben Namen, Adressen und E-Mail-Adressen auch um die gekauften Produkte sowie die Bezahlart gehandelt, teilte Amorelie mit. Die Bezahldaten selbst, also Bank- und Kreditkartendaten, sollen hingegen nicht betroffen sein.

Die Informationen finden sich in einer etwas versteckten Mitteilung unter der Überschrift "Datenschutzinformation gemäß Art. 34 DSGVO" im Hilfezentrum unter dem Reiter News und Updates, ein Auszug wird unter der Überschrift "Benachrichtigung: Über eine Verletzung des Schutzes personenbezogener Daten nach Artikel 34 DSGVO" auf der Startseite angezeigt. Wie viele Kunden betroffen sind und ob diese bereits informiert wurden, wollte Amorelie auf Nachfrage von Golem.de nicht beantworten. In einer weiteren E-Mail teilte Amorelie einen Tag später mit, dass die Betroffenen Kunden am 16. Dezember informiert worden seien.

Bisher keine Anzeichen für Missbrauch der Sicherheitslücke

Von der Sicherheitslücke, die nicht näher beschrieben wird, will Amorelie am 22. November 2021 erfahren haben. Mit dieser sei es durch unberechtigte Zugriffe möglich gewesen, auf die genannten Daten zuzugreifen. Amorelie will die Schwachstelle binnen weniger Minuten geschlossen und unverzüglich an die zuständige Datenschutzbehörde gemeldet haben.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Zwar könne ein unrechtmäßiger Zugriff derzeit nicht ausgeschlossen werden, da es jedoch derzeit keinen Anhaltspunkt für einen Missbrauch der Sicherheitslücke gebe, bestehe "kein Anlass zur Sorge", schreibt Amorelie. "Sollte sich herausstellen, dass auf die Daten missbräuchlich zugegriffen wurde, werden wir zusammen mit den Behörden alles tun, um weiteren möglichen Missbrauch zu unterbinden." Man bedaure den Vorfall sehr.

Sexspielzeuge, die sich gemeinsam mit anderen Personen über die Distanz nutzen lassen, werden spätestens seit der Coronapandemie immer beliebter - doch auch diese enthalten oft Sicherheitslücken. Im schlimmsten Fall können die Geräte von Dritten übernommen und kontrolliert werden. Die Sicherheitsfirma Eset hatte die beliebten Produkte Lovense Max und We-Vibe Jive Anfang des Jahres untersucht und entsprechende Lücken gefunden. Bereits im vergangenen Jahr konnte eine Forschergruppe einen smarten Keuschheitsgürtel kontrollieren und den Penis der Betroffenen eingesperrt lassen.

Nachtrag vom 22. Dezember 2021, 14:30 Uhr

Amorelie hat uns in einer zweiten E-Mail darauf aufmerksam gemacht, dass auch auf der Startseite auf den Datenschutzvorfall hingewiesen wird. Zudem wurde nun die Frage, ob die Betroffenen bereits informiert wurden, beantwortet. Wir haben den Artikel entsprechend ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Sicherheitslücken
Wenn das smarte Sexspielzeug von anderen gesteuert wird
artikel-bild
Internet of Things
Wenn Hacker den smarten Keuschheitsgürtel kontrollieren
artikel-bild
Datenleck
21 Terabyte privater Chatverläufe öffentlich zugänglich
artikel-bild
Datenleck
Daten von 7 Millionen Robinhood-Kunden stehen zum Kauf
artikel-bild
Nespresso
Kaffee-Flatrate für Sicherheitsforscher
Meistgelesen
artikel-bild
Microsoft
11 gute Gründe gegen den Umstieg auf Windows 11
artikel-bild
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig
artikel-bild
Sportuhr im Hands-on
Garmin Fenix 7 mit Touchscreen und Saphirglas-Solarstrom
artikel-bild
Bundesservice Telekommunikation
Ist eine scheinexistente Behörde für Wikipedia relevant?
artikel-bild
Spielebranche
Microsoft will Activision Blizzard übernehmen
Kommentarübersicht
Art 9 DSGVO (besonders schützenswerte Daten)
Maddix 22. Dez 2021 / Themenstart

Ich habe mich eher gefragt, ob es sich hier nicht um besonders schützenswerte Daten...

Re: Registrierungsdaten von 2013 trotz DSGVO
Maddix 22. Dez 2021 / Themenstart

Das Längste, was ich bis jetzt gesehen habe, waren 35 Jahre. Da ging es aber um ein...

Re: Der Server hatte ungeschützten Verkehr!
Kakiss 22. Dez 2021 / Themenstart

Haha ja, kann man doch einfach garnicht anders ^^

Was hat der letzte Absatz denn mit dem...
Casio 21. Dez 2021 / Themenstart

Was hat der letzte Absatz denn mit dem eigentlichen Thema zu tun? Klar beides hat...

Re: "Binnen weniger Minuten behoben"?
d0p3fish 20. Dez 2021 / Themenstart

Was soll denn das für ein Konstrukt sein?

Kommentieren

Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /