Der freie Journalist Daniel Große machte gestern in seinem Blog (Seite ist wegen schwerer Verlinkung und merkwürdigem Gebaren des Hosters gerade nur per Google Cache zu erreichen) auf ein pikantes Datenleck aufmerksam: Beim Recherchieren einer E-Mail-Adresse stieß er auf mehr als 20 Datenbanken in einem per Directory Listing frei einsehbarem Verzeichnis auf dem Webserver von lustkatalog.de. Diese enthielten tausende von E-Mail-Adressen nebst Datums- und Zeitangaben.

Die Daten reichen zurück bis in das Jahr 2006. Anscheinend handelt es sich um die E-Mail-Adressen der Abonnenten eines Web-Adventskalenders mit schlüprigem Material hinter den Türchen.

Laut Große sei eine Lücke im Kundenmanagementsystem des Versandhauses für das Datenleck verantwortlich, welche die Adressdatenbank als CSV-Dateien in einem ungesicherten Verzeichnis des Webservers speichere. Google fand die Links bei seinen regulären Crawlvorgängen und indizierte sie komplett. Ebenfalls betroffen gewesen sei das österreichische Pendant des Shops, pabo.at. Die Lücke scheint mittlerweile geschlossen, dennoch sind die Listen nach wie vor über den Google Cache einsehbar. Der Konzern täte gut daran, sämtliche Spuren des Datenlecks schnellstmöglich entfernen zu lassen. Von Seiten des Versandhauses gab es bis jetzt keine öffentliche Reaktion.

CSV, das Dateiformat der Adresslisten, steht für "Comma Separated Values" (durch Kommas getrennte Werte) und wird häufig zum Im- und Export von Adresstabellen und -datenbanken verwendet. Dass Beate Uhse nicht die einzige Instanz ist, die Probleme mit frei im Web herumschwirrenden persönlichen Benutzerdaten hat, zeigt eine Stichprobe von Gulli. Eine einfache Suchanfrage nach dem Dateityp CSV, kombiniert mit einer beliebten E-Mail-Domain wie gmail.com, ergibt auf Anhieb mehrere hundert Ergebnisse. Ein Fest für Datendiebe und Spambots. (fraencko)

(via F!XMBR, danke!)