Tibber ist einem Hackerangriff zum Opfer gefallen
von caschy | 15 Kommentare
Der Stromanbieter Tibber wurde am 11. November 2024 Ziel eines Cyberangriffs, bei dem Kundendaten aus dem deutschen Webshop entwendet wurden. Nach Angaben des Unternehmens sind etwa 50.000 E-Mail-Adressen deutscher Kunden betroffen. Der Vorfall beschränkt sich nach bisherigen Erkenntnissen auf den deutschen Online-Shop des Energieanbieters.
Bei den entwendeten Daten handelt es sich um personenbezogene Informationen wie Namen, Benutzernamen, E-Mail-Adressen sowie Postleitzahlen und Städte der Kunden. Zusätzlich erhielten die Angreifer Zugriff auf Informationen zu Bestellvolumen und Bestellstatus. Das Unternehmen betont, dass keine sensiblen Daten wie Passwörter, Stromvertragsdaten oder Bankverbindungen kompromittiert wurden.
Tibber hat unmittelbar nach Bekanntwerden des Vorfalls Maßnahmen ergriffen. Die externen Zugriffsmöglichkeiten auf den Webshop wurden eingeschränkt und das System wird verstärkt überwacht. Das Unternehmen erstattete Anzeige bei der Polizei in Berlin und informierte die zuständigen Datenschutzbehörden über den Vorfall.
Das Risiko für betroffene Kunden besteht hauptsächlich darin, dass sie über ihre E-Mail-Adressen kontaktiert werden können und die Angreifer Kenntnis über die individuellen Bestellsummen im Tibber Store haben. Das Unternehmen arbeitet mit externen Datensicherheitsexperten zusammen, um die Sicherheitsmaßnahmen weiter zu verbessern.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ich wundere mich, warum mir Tibber das nicht schon persönlich in der App mitgeteilt hat…
Fairerweise haben sie umfangreich per Mail informiert. Per („nachschlagbarer“) Mail ist mir das lieber als per (vergänglicher) Push-Nachricht. Ideal wäre natürlich beides: per Push-Nachricht auf die umfangreiche Mail hinweisen.
Tibber hat per Mail darüber informiert. Ist auch korrekt so.
Ich habe noch keine Mail von Tibber bekommen.
Ein Massenversand von E-Mails kann sich manchmal ziehen, vielleicht kommt es also noch. Vielleicht warst du aber gar nicht betroffen, es scheint insbesondere den Shop zu betreffen und ist vielleicht auch kein aktueller Datensatz.
Das die Betreiber egal wo man hinsieht die Shops etc. nicht weitreichend absichern. Da ist man einmal in einer Datenbank von einem Hackingangriff und auf Ewigkeiten ist diese E-Mail Adresse „verbrannt“. So hab ich das seit über einem Jahrzehnt mit einer Micorosoft Adresse. Also gilt: Sofern möglich für jeden Dienst entweder einen Alias oder mit eigener Domain für jeden Shop eigene Adresse genieren…obwohl das auch die Gefahr hat, dass am Ende die Domain zugespamt wird.
Ein Tipp für Gmail Adressen: Man kann aus einer Gmail Adresse durch anhängen eines Postfix nach einem ‚+‘ beliebig viele einzigartige Maildressen erzeugen. Also z.B. hier aus JohnDoe@gmail.com dann JohnDoe+Tibber@gmail.com
Freilich landet der Spam dann im selben Postfach aber man weiß woher…
Außer die Spamer entfernen einfach alles vom + bis zum @ Zeichen, dann hilft dir das auch nichts.
Richtig, zumal einige Anbeiter da auch nicht zulassen und das + nicht akzeptieren. Zudem wie schon erwähnt einfach das + weg und man hat einen (wertvollen) Gmail Account „verloren“ an Spammer.
DuckDuckGo Alias ist ganz nett – ansonsten unbox.at auch eine sehr tolle und unterstützenswerte Sache!
Alle Anbieter müssen das + Zeichen akzeptieren, da es explizit in RFC 5322 als zulässiges Zeichen in jedem local part einer Mail-Adresse erlaubt ist.
Ich bin ja ansonsten eher stiller Mitleser, aber jetzt muss ich einmal Danke für diesen „Hack“ 😉 sagen, der mir bislang nicht bekannt war! Vielen Dank!
Hatten wir gar 2011 und 2022 als Refresher 🙂 https://stadt-bremerhaven.de/google-mail-unendliche-adressen/
Ne, 2007 schon 😀 https://stadt-bremerhaven.de/was-passiert-mit-euren-email-adressen/
Ich habe einen Mailcow Server mit eigemwr Domain laufen. Über Chrome/FF Plugin kann man sich eine alias Adresse anlegen. Funktioniert.
Bist du direkt bei Mailcow? Oder hostest du selbst?
Denke da auch schon regelmäßig drüber nach…
Ich nutze letzteres. ZufälligeID@domain. Die Adresse nehme ich für 5-10 Shops bzw. wenn ich nur als Gast bestelle, dann auch gerne häufiger. Wenn die Adresse kompromittiert ist, dann lösche ich sie. Maximal 5 Konten in Shops ändern (guter Zeitpunkt zu prüfen, ob man den Account noch braucht). Das ganze nicht nur für Shops, sondern alle Arten von Accounts. Keepass hilft mir zu wissen, wo welche Adresse im Einsatz ist.
Die Domain vollspammen … die Adressen kann man nicht raten und man müsste sehr viele Adressen durchprobieren. Das lohnt eigentlich für die Spammer nicht.