Sicherheitslücke: Datenleck bei Erotikversandhändler Amorelie

Über eine Sicherheitslücke waren Bestellungen beim Erotikversandhändler Amorelie einsehbar.

Artikel veröffentlicht am ,
Wer wohl dieses Sexspielzeug gekauft hat?
Wer wohl dieses Sexspielzeug gekauft hat? (Bild: RJA1988/Pixabay)

Amorelie, ein Versandhändler für Erotikartikel und Sextoys, hat seine Kunden in den vergangenen Tagen über ein umfangreiches Datenleck in Kenntnis gesetzt. Betroffen seien die Daten der aufgegebenen Bestellungen, aber auch Namen und E-Mail-Adressen aller zwischen 2013 und Mai 2020 registrierten Kunden.

Stellenmarkt
  1. Backend Web Developer (m/w/d)
    MULTIVAC Sepp Haggenmüller SE & Co. KG, Wolfertschwenden
  2. IT-Supporter User Helpdesk (m/w/d)
    experts, Raum Ulm
Detailsuche

Über eine Sicherheitslücke sei es möglich gewesen, auf die Daten zuzugreifen. Bei den einsehbaren Bestellvorgängen habe es sich neben Namen, Adressen und E-Mail-Adressen auch um die gekauften Produkte sowie die Bezahlart gehandelt, teilte Amorelie mit. Die Bezahldaten selbst, also Bank- und Kreditkartendaten, sollen hingegen nicht betroffen sein.

Die Informationen finden sich in einer etwas versteckten Mitteilung unter der Überschrift "Datenschutzinformation gemäß Art. 34 DSGVO" im Hilfezentrum unter dem Reiter News und Updates, ein Auszug wird unter der Überschrift "Benachrichtigung: Über eine Verletzung des Schutzes personenbezogener Daten nach Artikel 34 DSGVO" auf der Startseite angezeigt. Wie viele Kunden betroffen sind und ob diese bereits informiert wurden, wollte Amorelie auf Nachfrage von Golem.de nicht beantworten. In einer weiteren E-Mail teilte Amorelie einen Tag später mit, dass die Betroffenen Kunden am 16. Dezember informiert worden seien.

Bisher keine Anzeichen für Missbrauch der Sicherheitslücke

Von der Sicherheitslücke, die nicht näher beschrieben wird, will Amorelie am 22. November 2021 erfahren haben. Mit dieser sei es durch unberechtigte Zugriffe möglich gewesen, auf die genannten Daten zuzugreifen. Amorelie will die Schwachstelle binnen weniger Minuten geschlossen und unverzüglich an die zuständige Datenschutzbehörde gemeldet haben.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Zwar könne ein unrechtmäßiger Zugriff derzeit nicht ausgeschlossen werden, da es jedoch derzeit keinen Anhaltspunkt für einen Missbrauch der Sicherheitslücke gebe, bestehe "kein Anlass zur Sorge", schreibt Amorelie. "Sollte sich herausstellen, dass auf die Daten missbräuchlich zugegriffen wurde, werden wir zusammen mit den Behörden alles tun, um weiteren möglichen Missbrauch zu unterbinden." Man bedaure den Vorfall sehr.

Sexspielzeuge, die sich gemeinsam mit anderen Personen über die Distanz nutzen lassen, werden spätestens seit der Coronapandemie immer beliebter - doch auch diese enthalten oft Sicherheitslücken. Im schlimmsten Fall können die Geräte von Dritten übernommen und kontrolliert werden. Die Sicherheitsfirma Eset hatte die beliebten Produkte Lovense Max und We-Vibe Jive Anfang des Jahres untersucht und entsprechende Lücken gefunden. Bereits im vergangenen Jahr konnte eine Forschergruppe einen smarten Keuschheitsgürtel kontrollieren und den Penis der Betroffenen eingesperrt lassen.

Nachtrag vom 22. Dezember 2021, 14:30 Uhr

Amorelie hat uns in einer zweiten E-Mail darauf aufmerksam gemacht, dass auch auf der Startseite auf den Datenschutzvorfall hingewiesen wird. Zudem wurde nun die Frage, ob die Betroffenen bereits informiert wurden, beantwortet. Wir haben den Artikel entsprechend ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Sicherheitslücken
Wenn das smarte Sexspielzeug von anderen gesteuert wird
artikel-bild
Internet of Things
Wenn Hacker den smarten Keuschheitsgürtel kontrollieren
artikel-bild
Datenleck
21 Terabyte privater Chatverläufe öffentlich zugänglich
artikel-bild
Datenleck
Daten von 7 Millionen Robinhood-Kunden stehen zum Kauf
artikel-bild
Nespresso
Kaffee-Flatrate für Sicherheitsforscher
Meistgelesen
artikel-bild
Musterfeststellungsklage
Parship kann eine Kündigungswelle erwarten
artikel-bild
Open Source
"Antworten Sie innerhalb von 24 Stunden"
artikel-bild
LaTeX
Schreibst du noch oder setzt du schon?
artikel-bild
Entwickler gesucht
Blizzard arbeitet an einem Survivalgame
artikel-bild
App Store
Apple muss 5 Millionen Euro Strafe zahlen - pro Woche
Kommentarübersicht
Art 9 DSGVO (besonders schützenswerte Daten)
Maddix 22. Dez 2021 / Themenstart

Ich habe mich eher gefragt, ob es sich hier nicht um besonders schützenswerte Daten...

Re: Registrierungsdaten von 2013 trotz DSGVO
Maddix 22. Dez 2021 / Themenstart

Das Längste, was ich bis jetzt gesehen habe, waren 35 Jahre. Da ging es aber um ein...

Re: Der Server hatte ungeschützten Verkehr!
Kakiss 22. Dez 2021 / Themenstart

Haha ja, kann man doch einfach garnicht anders ^^

Was hat der letzte Absatz denn mit dem...
Casio 21. Dez 2021 / Themenstart

Was hat der letzte Absatz denn mit dem eigentlichen Thema zu tun? Klar beides hat...

Re: "Binnen weniger Minuten behoben"?
d0p3fish 20. Dez 2021 / Themenstart

Was soll denn das für ein Konstrukt sein?

Kommentieren

Aktuell auf der Startseite von Golem.de
Garmin Fenix 7 im Test
Outdoor-Wearable mit fast allem Drin und Dran

Eine weitere Funktionslücke ist geschlossen: Nun hat auch die Garmin Fenix 7 einen Touchscreen - und noch mehr Akkulaufzeit.
Von Peter Steinlechner

Garmin Fenix 7 im Test: Outdoor-Wearable mit fast allem Drin und Dran
Artikel
  1. Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
    Musterfeststellungsklage
    Parship kann eine Kündigungswelle erwarten

    Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

  2. IWF: El Salvador soll Bitcoin nicht als Zahlungsmittel verwenden
    IWF
    El Salvador soll Bitcoin nicht als Zahlungsmittel verwenden

    Der Internationale Währungsfonds befürchtet, dass El Salvador mit den Risiken nicht fertig wird, die mit einer Kryptowährung wie dem Bitcoin verbunden sind.

  3. Open Source: Antworten Sie innerhalb von 24 Stunden
    Open Source
    "Antworten Sie innerhalb von 24 Stunden"

    Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB für 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Alternate (u.a. Razer Gaming-Maus 39,99€) • RX 6800XT 16GB 1.229€ • Thrustmaster Ferrari-Lenkrad 349,99€ • Razer Gaming-Stuhl 179,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /