Conrad Electronic: Kundendaten waren potenziell für widerrechtlichen Zugriff zugänglich
von caschy | 22 Kommentare
Conrad Electronic informiert derzeit seine Kunden über eine Datenpanne. Kundendaten waren potenziell für widerrechtlichen Zugriff zugänglich, so das Unternehmen in einer Kundeninformation. Zwar habe man keine Kenntnis darüber, dass die Sicherheitslücke ausgenutzt wurde, man informiert aus Transparenzgründen dennoch die Kunden (so nennt man es, allerdings muss man es auch melden). Die Datensätze bei Conrad Electronic registrierter Kunden, auf die Zugriff möglich gewesen wäre, umfassen Postadressen, teilweise E-Mail-Adressen bzw. Fax- und Telefonnummern und bei knapp einem Fünftel der betroffenen Datensätze auch IBANs. Es bestand potenziell Zugang auf knapp 14 Millionen Kunden-Datensätze der Conrad-Gruppe, so das Unternehmen weiter.
Die IT-Experten von Conrad haben die Sicherheitslücke im System bereits identifiziert und geschlossen. Die betroffenen Daten waren in einer sogenannten „Elasticsearch“-Datenbank gespeichert und nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar, die sich Lücken in der Sicherung von Datenbanken zunutze macht. Sollten durch die Datenlücke Daten entwendet worden sein, könnten beispielsweise E-Mail-Adressen der betroffenen Kunden genutzt werden, um Spam-Mails an sie zu senden. Conrad rät daher grundsätzlich zu besonderer Vorsicht beim Umgang mit verdächtigen E-Mails, insbesondere, wenn diese dazu auffordern, Anhänge zu öffnen.
Wird geladen ...
„Aus Transparenzgründen“
Das machen die nicht freiwillig. Der Datenschutzbeauftragte von denen wird das ganze Thema bei der zuständigen Behörde gemeldet haben und die werden dann Conrad mitgeteilt haben, dass die Kunden informiert werden müssen.
„Informationsseite für Kunden
Das Unternehmen hat beim Landeskriminalamt Strafanzeige gestellt, derzeit gehen laut der Mitteilung aber weder das Unternehmen noch die Behörden von einer missbräuchlichen Nutzung der Daten durch die Hacker aus. Conrad Electronic hat eine spezielle Internetseite eingerichtet, auf der sich Kunden über den Datenschutz informieren können und ein Formular für Rückfragen finden. “
https://www.br.de/nachrichten/wirtschaft/hacker-attacke-auf-conrad-electronic-kundendaten-geklaut,RiGP0Jk
Diese „spezielle Internetseite“ ist aber entweder sehr gut versteckt oder es handelt sich nur um die sowieso notwendige Seite mit der Datenschutzerklärung
„Auch wenn aus Sicht der Behörden keine Kundeninformation erforderlich ist, möchten wir Sie hiermit im Sinne eines guten und partnerschaftlichen Umgangs dennoch vorsorglich informieren. “
Zitat Ende
„Vier Millionen Artikel bei Conrad online im Angebot
In der Pressemitteilung bringt Conrad Electronic sein Bedauern zum Ausdruck und bittet die Kunden um Entschuldigung. Der Versandhändler mit seinem Hauptsitz in Hirschau im Landkreis Amberg-Sulzbach und einem Logistik-Zentrum in Wernberg-Köblitz hat rund vier Millionen Artikel auf der Internetseite. Dazu unterhält das Oberpfälzer Familien-Unternehmen nach eigenen Angaben 20 Filialen in Deutschland und ist in 16 Ländern aktiv. “
😉 bissle Eigenwerbung auch in einer misslichen Lage, wer tut dies nicht? Falschinfo sind es ja nicht…
Danke für die Info.
Erstmal Passwort geändert, Zahlungsmittel hatte ich zum Glück nicht hinterlegt
Leider ist meine Adresse hinterlegt.
Ist es so schwer, die Kundendaten zu schützen und den Zugriff zu verhindern?
ach so, eine Info von Conrad Electronic,
hab ich bisher noch nicht erhalten …
„Conrad Electronic hat eine spezielle Internetseite eingerichtet, auf der sich Kunden über den Datenschutz informieren können und ein Formular für Rückfragen finden.“
https://www.br.de/nachrichten/wirtschaft/hacker-attacke-auf-conrad-electronic-kundendaten-geklaut,RiGP0Jk
NICHT ist sicher, außer der Tod, bei selbigem auch der Zeitpunkt unsicher.
Kannst es dir ausmachen was du sonst am besten abschaffen oder nicht preisgeben solltest.
Egal wie gut du etwas sicherst, es ist nur eine Frage der Zeit, oder des Glückes, aber wenn keiner interesse an dein Unternehmen hat… nicht mal Hacker 😉 … dann solltest du drüber nachdenken was du falsch gemacht hast… 😉
„Die betroffenen Daten waren in einer sogenannten „Elasticsearch“-Datenbank gespeichert und nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar, die sich Lücken in der Sicherung von Datenbanken zunutze macht.“
Ist das ein verklausuliertes „Hey, wir hatten ein Standardpasswort gesetzt, und jeder, der auch nur etwas Ahnung von Shodan hat, konnte die Datenbank durchsuchen.“?
Danke für die Erinnerung, auch wenn du mit Shodan nicht die amoklaufende, namensgebende KI in System Shock meinst, aber auch dort durfte man sich in Systeme hacken…! Ich höre nahezu die Startmusik…
„die sich Lücken in der Sicherung von Datenbanken zunutze macht“
ja und wem hat man das zu verdanken?
Vermutlich der FUCKING NSA & Co…
Uff. Conrad. Wundert mich leider nicht, was auch garnicht welche Daten die von mir haben, habe dort seit Jahren nicht mehr bestellt.
Da Völkner, Digitalo und SMDV auch zur Conrad Gruppe gehören, sollten diese auch betroffen sein. Also auch lieber mal dort aktiv werden.
https://de.wikipedia.org/wiki/Conrad_Electronic#Geschichte
grad durch dein Post mal nachgeguckt, wußte gar nicht das Völkner denen auch gehört 😉 meist bessere Preisgestaltung als Conrad.de
Ich habe vorgestern eine Erpressermail erhalten. Man hätte meinen Computer gehackt und Daten entwendet sowie Kinderpornos darauf versteckt. Als „Beweis“ wurden persönliche Daten aufgeführt: Name (der falsch war), Postadresse (richtig), IBAN (leider auch richtig). Es folgt die nette Aufforderung, innerhalb von 72 Stunden Bitcoins zu überweisen.
Solche Mails habe ich früher auch schon mal erhalten, aber das Anführen von Postadresse und IBAN ist neu.
Ich vermute hier einen Zusammenhang mit dem Conrad Hack. Leider kann ich dort in meinem Konto nicht erkennen, ob ich, als ich vor vielen Jahren mal bestellt habe, meine Bankverbindung eingegeben habe. Aber vielleicht gibt es auch noch andere Hacks, die noch nicht bekannt sind. Mittlerweile nutze ich für Online-Käufe ein gesondertes Konto oder Paypal. Per Lastschrift habe ich schon sehr lange nichts mehr bestellt.
Nun ja, traurig, aber da kann man wohl nichts machen. Man kann noch so vorsichtig sein, wenn andere mit den Daten schludrig umgehen, dann hat man verloren.
„Ich vermute hier einen Zusammenhang mit dem Conrad Hack.“
Warum? Es ist doch gar nicht sicher, dass Daten gehackt wurden. Es bestand lediglich die Möglichkeit.
Eine Vermutung auf Basis des zeitlichen Zusammenhangs. Mails mit demselben Text, aber ohne die persönlichen Daten wurden schon vor einigen Wochen verschickt (Quelle: https://www.onlinewarnungen.de/). Offenbar wurde nun dieser Mailtext um persönliche Daten „aufgepeppt“. Wenn man diese Daten schon vor einigen Wochen gehabt hätte, hätte man sie wahrscheinlich damals schon genutzt.
Die Bankverbindung für Lastschrift gebe ich eigentlich nur mir seriös erscheinenden Lieferanten an, d.h. z.B. Energielieferanten. Im Online-Handel war dies eher eine „Jugendsünde“, die ich mittlerweile nicht mehr begehe, wie oben ausgeführt.
Aber egal, was nun die Quelle der persönlichen Daten war, die Daten sind nun mal im Netz bekannt. Da hilft nur, Mails sehr sorgfältig auf Phishing zu prüfen.
Kurios , kurios……. ich nutze einen deutschen mail anbieter , server stehen in deutschland
hinterlegte daten bei bank,strom, telekommunikation, u.ä. 100%tige deutsche anbieter
in fast 12 jahren habe ich von meinem deutschen mail anbieter an meine mail adresse NICHT eine einzige
spam mail erhalten !
onlinebestellungen nur als gast mit alias wegwerfadresse ! und bestellungen NUR bei 100% deutschen händlern !
funktioniert einwandfrei ! mit etwas selbstdisziplin klappt das auch !
ich nutze keine hotmail gmail oder sonstige anderweitige mail adressen !
unerpressbar 😉
ps. online käufe mit debit cc cards sind ein zuverlässiges mittel !
Dann hast Du wahrscheinlich Glück gehabt. Deine Beschreibung trifft auch auf mein Vorgehen zu, aber trotzdem habe ich schon derartige Mails erhalten, wenn auch vorher nicht mit einer derartigen Fülle an persönlichen Daten.
Dann teil uns doch auch dein Anbieter mit.
bei der Polizei anzeigen…
Bitcoin haben eh nur die aller wenigsten, totaler Bullshit so jemand zu erpressen.
Ich lösch eh alle Mails die ich nicht angefragt habe, nicht kenne, wo Inkasso oder Ähnliches schon in dem Namen oder Betreffzeile sind. Diese sind nicht in D Rechtlich, sie müssen dich per Post anschreiben 😉 somit kann dir Anwalt Fuck & Bullshit auch egal sein… wenn was kommt.