Sicherheitslücke: Datenleck bei Erotikversandhändler Amorelie

Amorelie, ein Versandhändler für Erotikartikel und Sextoys, hat seine Kunden in den vergangenen Tagen über ein umfangreiches Datenleck in Kenntnis gesetzt. Betroffen seien die Daten der aufgegebenen Bestellungen, aber auch Namen und E-Mail-Adressen aller zwischen 2013 und Mai 2020 registrierten Kunden.

Über eine Sicherheitslücke sei es möglich gewesen, auf die Daten zuzugreifen. Bei den einsehbaren Bestellvorgängen habe es sich neben Namen, Adressen und E-Mail-Adressen auch um die gekauften Produkte sowie die Bezahlart gehandelt, teilte Amorelie mit. Die Bezahldaten selbst, also Bank- und Kreditkartendaten, sollen hingegen nicht betroffen sein.

Die Informationen finden sich in einer etwas versteckten Mitteilung unter der Überschrift "Datenschutzinformation gemäß Art. 34 DSGVO" im Hilfezentrum unter dem Reiter News und Updates, ein Auszug wird unter der Überschrift "Benachrichtigung: Über eine Verletzung des Schutzes personenbezogener Daten nach Artikel 34 DSGVO" auf der Startseite angezeigt. Wie viele Kunden betroffen sind und ob diese bereits informiert wurden, wollte Amorelie auf Nachfrage von Golem.de nicht beantworten. In einer weiteren E-Mail teilte Amorelie einen Tag später mit, dass die Betroffenen Kunden am 16. Dezember informiert worden seien.

Bisher keine Anzeichen für Missbrauch der Sicherheitslücke

Von der Sicherheitslücke, die nicht näher beschrieben wird, will Amorelie am 22. November 2021 erfahren haben. Mit dieser sei es durch unberechtigte Zugriffe möglich gewesen, auf die genannten Daten zuzugreifen. Amorelie will die Schwachstelle binnen weniger Minuten geschlossen und unverzüglich an die zuständige Datenschutzbehörde gemeldet haben.

Zwar könne ein unrechtmäßiger Zugriff derzeit nicht ausgeschlossen werden, da es jedoch derzeit keinen Anhaltspunkt für einen Missbrauch der Sicherheitslücke gebe, bestehe "kein Anlass zur Sorge", schreibt Amorelie. "Sollte sich herausstellen, dass auf die Daten missbräuchlich zugegriffen wurde, werden wir zusammen mit den Behörden alles tun, um weiteren möglichen Missbrauch zu unterbinden." Man bedaure den Vorfall sehr.

Sexspielzeuge, die sich gemeinsam mit anderen Personen über die Distanz nutzen lassen, werden spätestens seit der Coronapandemie immer beliebter - doch auch diese enthalten oft Sicherheitslücken. Im schlimmsten Fall können die Geräte von Dritten übernommen und kontrolliert werden. Die Sicherheitsfirma Eset hatte die beliebten Produkte Lovense Max und We-Vibe Jive Anfang des Jahres untersucht und entsprechende Lücken gefunden. Bereits im vergangenen Jahr konnte eine Forschergruppe einen smarten Keuschheitsgürtel kontrollieren und den Penis der Betroffenen eingesperrt lassen.

Nachtrag vom 22. Dezember 2021, 14:30 Uhr

Amorelie hat uns in einer zweiten E-Mail darauf aufmerksam gemacht, dass auch auf der Startseite auf den Datenschutzvorfall hingewiesen wird. Zudem wurde nun die Frage, ob die Betroffenen bereits informiert wurden, beantwortet. Wir haben den Artikel entsprechend ergänzt.