Erotikhändler Amorelie meldet Datenleck

Erotik-Shop
Neben Dessous verkauft Amorelie Sexspielzeug und vermittelt “Dildopartys” – keine Informationen, die Kunden öffentlich verknüpft mit ihrem Namen sehen wollen. (Quelle:

Der Erotik-Versandhändler Amorelie hat über ein kritisches Datenleck seines Onlineshops informiert, durch das Kundendaten offen zugänglich waren. Betroffen waren Namen, Lieferadressen, E-Mail-Adressen, die Bezahlart und die gekauften Produkte aller zwischen 2013 und Mai 2020 registrierten Nutzer.

“Über die Sicherheitslücke wäre ein externer Zugriff auf Adress- und Bestelldaten von Kund*innen (Namen und E-Mail Adressen), registrierten Nutzer*innen und Mitarbeiter*innen des Shops theoretisch möglich gewesen”, schreibt der Onlineshop.

Amorelie habe am 22. November von der Lücke erfahren und sie am selben Tag geschlossen. Allerdings bestand sie bereits seit dem 5. März 2021, antwortete Amorelie auf eine Anfrage von Posteo. Ob Unbefugte auf die Daten tatsächlich zugegriffen haben, könne “zum jetzigen Zeitpunkt nicht mit vollständiger Sicherheit ausgeschlossen werden”. Es gäbe bislang aber keine Hinweise darauf. Bank- und Kreditkartendaten seien nach aktuellem Stand nicht betroffen.

Aufklärung läuft noch

Mit Details hält sich das Unternehmen ansonsten zurück. Was technisch vorgefallen ist und wie die Sicherheitslücke entdeckt wurde, wollte der Händler auf Anfrage nicht beantworten.

Momentan fände eine Analyse “in Zusammenarbeit mit unabhängigen externen Spezialisten für IT-Forensik sowie spezialisierten Anwälten und Datenschutz-Experten” statt. Diese solle Klarheit über die Ursache schaffen.

Das Problem sei “umgehend” an die Datenschutzbehörden gemeldet worden – so, wie es die Datenschutzgrundverordnung (DSGVO) vorschreibt.

Nutzer hilflos

Auf Anfrage von Posteo teilte Amorelie mit, betroffene Kunden seien am 16. Dezember per E-Mail über das Leck informiert worden. Amorelie rät ihnen, ungewöhnliche Vorkommnisse zu melden, die auf eine missbräuchliche Verwendung der eigenen Daten hindeuten. Vorstellbar ist, dass die Daten für Phishing-Versuche genutzt werden könnten oder anderweitig für Betrugsversuche. Betroffenen bleibt tatsächlich nichts übrig, als achtsam zu bleiben. (hcz)