Conrad Electronic: Kundendaten waren potenziell für widerrechtlichen Zugriff zugänglich

Conrad Electronic informiert derzeit seine Kunden über eine Datenpanne. Kundendaten waren potenziell für widerrechtlichen Zugriff zugänglich, so das Unternehmen in einer Kundeninformation. Zwar habe man keine Kenntnis darüber, dass die Sicherheitslücke ausgenutzt wurde, man informiert aus Transparenzgründen dennoch die Kunden (so nennt man es, allerdings muss man es auch melden). Die Datensätze bei Conrad Electronic registrierter Kunden, auf die Zugriff möglich gewesen wäre, umfassen Postadressen, teilweise E-Mail-Adressen bzw. Fax- und Telefonnummern und bei knapp einem Fünftel der betroffenen Datensätze auch IBANs. Es bestand potenziell Zugang auf knapp 14 Millionen Kunden-Datensätze der Conrad-Gruppe, so das Unternehmen weiter.

Die IT-Experten von Conrad haben die Sicherheitslücke im System bereits identifiziert und geschlossen. Die betroffenen Daten waren in einer sogenannten „Elasticsearch“-Datenbank gespeichert und nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar, die sich Lücken in der Sicherung von Datenbanken zunutze macht. Sollten durch die Datenlücke Daten entwendet worden sein, könnten beispielsweise E-Mail-Adressen der betroffenen Kunden genutzt werden, um Spam-Mails an sie zu senden. Conrad rät daher grundsätzlich zu besonderer Vorsicht beim Umgang mit verdächtigen E-Mails, insbesondere, wenn diese dazu auffordern, Anhänge zu öffnen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

22 Kommentare

  1. „Aus Transparenzgründen“
    Das machen die nicht freiwillig. Der Datenschutzbeauftragte von denen wird das ganze Thema bei der zuständigen Behörde gemeldet haben und die werden dann Conrad mitgeteilt haben, dass die Kunden informiert werden müssen.

  2. Simon van Raalte says:

    „Auch wenn aus Sicht der Behörden keine Kundeninformation erforderlich ist, möchten wir Sie hiermit im Sinne eines guten und partnerschaftlichen Umgangs dennoch vorsorglich informieren. “
    Zitat Ende

    • „Vier Millionen Artikel bei Conrad online im Angebot

      In der Pressemitteilung bringt Conrad Electronic sein Bedauern zum Ausdruck und bittet die Kunden um Entschuldigung. Der Versandhändler mit seinem Hauptsitz in Hirschau im Landkreis Amberg-Sulzbach und einem Logistik-Zentrum in Wernberg-Köblitz hat rund vier Millionen Artikel auf der Internetseite. Dazu unterhält das Oberpfälzer Familien-Unternehmen nach eigenen Angaben 20 Filialen in Deutschland und ist in 16 Ländern aktiv. “

      😉 bissle Eigenwerbung auch in einer misslichen Lage, wer tut dies nicht? Falschinfo sind es ja nicht…

  3. Danke für die Info.
    Erstmal Passwort geändert, Zahlungsmittel hatte ich zum Glück nicht hinterlegt
    Leider ist meine Adresse hinterlegt.

    Ist es so schwer, die Kundendaten zu schützen und den Zugriff zu verhindern?

  4. „Die betroffenen Daten waren in einer sogenannten „Elasticsearch“-Datenbank gespeichert und nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar, die sich Lücken in der Sicherung von Datenbanken zunutze macht.“

    Ist das ein verklausuliertes „Hey, wir hatten ein Standardpasswort gesetzt, und jeder, der auch nur etwas Ahnung von Shodan hat, konnte die Datenbank durchsuchen.“?

    • Danke für die Erinnerung, auch wenn du mit Shodan nicht die amoklaufende, namensgebende KI in System Shock meinst, aber auch dort durfte man sich in Systeme hacken…! Ich höre nahezu die Startmusik…

    • „die sich Lücken in der Sicherung von Datenbanken zunutze macht“
      ja und wem hat man das zu verdanken?
      Vermutlich der FUCKING NSA & Co…

  5. Uff. Conrad. Wundert mich leider nicht, was auch garnicht welche Daten die von mir haben, habe dort seit Jahren nicht mehr bestellt.

  6. Da Völkner, Digitalo und SMDV auch zur Conrad Gruppe gehören, sollten diese auch betroffen sein. Also auch lieber mal dort aktiv werden.

  7. Ich habe vorgestern eine Erpressermail erhalten. Man hätte meinen Computer gehackt und Daten entwendet sowie Kinderpornos darauf versteckt. Als „Beweis“ wurden persönliche Daten aufgeführt: Name (der falsch war), Postadresse (richtig), IBAN (leider auch richtig). Es folgt die nette Aufforderung, innerhalb von 72 Stunden Bitcoins zu überweisen.
    Solche Mails habe ich früher auch schon mal erhalten, aber das Anführen von Postadresse und IBAN ist neu.

    Ich vermute hier einen Zusammenhang mit dem Conrad Hack. Leider kann ich dort in meinem Konto nicht erkennen, ob ich, als ich vor vielen Jahren mal bestellt habe, meine Bankverbindung eingegeben habe. Aber vielleicht gibt es auch noch andere Hacks, die noch nicht bekannt sind. Mittlerweile nutze ich für Online-Käufe ein gesondertes Konto oder Paypal. Per Lastschrift habe ich schon sehr lange nichts mehr bestellt.

    Nun ja, traurig, aber da kann man wohl nichts machen. Man kann noch so vorsichtig sein, wenn andere mit den Daten schludrig umgehen, dann hat man verloren.

    • „Ich vermute hier einen Zusammenhang mit dem Conrad Hack.“

      Warum? Es ist doch gar nicht sicher, dass Daten gehackt wurden. Es bestand lediglich die Möglichkeit.

      • Eine Vermutung auf Basis des zeitlichen Zusammenhangs. Mails mit demselben Text, aber ohne die persönlichen Daten wurden schon vor einigen Wochen verschickt (Quelle: https://www.onlinewarnungen.de/). Offenbar wurde nun dieser Mailtext um persönliche Daten „aufgepeppt“. Wenn man diese Daten schon vor einigen Wochen gehabt hätte, hätte man sie wahrscheinlich damals schon genutzt.
        Die Bankverbindung für Lastschrift gebe ich eigentlich nur mir seriös erscheinenden Lieferanten an, d.h. z.B. Energielieferanten. Im Online-Handel war dies eher eine „Jugendsünde“, die ich mittlerweile nicht mehr begehe, wie oben ausgeführt.
        Aber egal, was nun die Quelle der persönlichen Daten war, die Daten sind nun mal im Netz bekannt. Da hilft nur, Mails sehr sorgfältig auf Phishing zu prüfen.

    • Kurios , kurios……. ich nutze einen deutschen mail anbieter , server stehen in deutschland
      hinterlegte daten bei bank,strom, telekommunikation, u.ä. 100%tige deutsche anbieter
      in fast 12 jahren habe ich von meinem deutschen mail anbieter an meine mail adresse NICHT eine einzige
      spam mail erhalten !
      onlinebestellungen nur als gast mit alias wegwerfadresse ! und bestellungen NUR bei 100% deutschen händlern !
      funktioniert einwandfrei ! mit etwas selbstdisziplin klappt das auch !
      ich nutze keine hotmail gmail oder sonstige anderweitige mail adressen !
      unerpressbar 😉
      ps. online käufe mit debit cc cards sind ein zuverlässiges mittel !

    • bei der Polizei anzeigen…
      Bitcoin haben eh nur die aller wenigsten, totaler Bullshit so jemand zu erpressen.
      Ich lösch eh alle Mails die ich nicht angefragt habe, nicht kenne, wo Inkasso oder Ähnliches schon in dem Namen oder Betreffzeile sind. Diese sind nicht in D Rechtlich, sie müssen dich per Post anschreiben 😉 somit kann dir Anwalt Fuck & Bullshit auch egal sein… wenn was kommt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.