Digital
Schweiz

Digitec-Kundendaten gestohlen – Schweizer Online-Shop bestätigt Sicherheitslücke

Ein Digitec-Kunde schlug Alarm, weil seine Handy-Nummer und andere persönliche Informationen in die Hände von Kriminellen gefallen sind. 
Ein Digitec-Kunde schlug Alarm, weil seine Handy-Nummer und andere persönliche Informationen in die Hände von Kriminellen gefallen sind. bildmontage: watson

Daten-GAU bei Digitec – sensible Kundendaten gestohlen, für gezielte Angriffe missbraucht

Der grösste Schweizer Online-Shop bestätigt, dass «Betrüger» in den Besitz «persönlicher Daten» gekommen seien. Potenziell betroffen seien Kundendaten von 2001 bis maximal Mitte 2014.
16.11.2017, 14:5917.11.2017, 06:50
Mehr «Digital»
User input
Der User schickt’s, wir bringen’s.

Was wir wissen

  • Dem grössten Schweizer Online-Shop, Digitec Galaxus, sind sensible Kundendaten gestohlen worden.
  • Betroffen sind Kunden, die sich zwischen 2001 und 2014 bei Digitec registriert hatten.
  • Das Schadenausmass ist nicht bekannt. Wir wissen auch nicht, wie viele Digitec-Kunden betroffen sind.
  • Einem Digitec-Kunden wurde ein gefälschtes E-Mail an eine Mailadresse geschickt, die der Mann ausschliesslich für seine Digitec-Einkäufe verwendet und sonst gemäss eigenen Angaben nirgends registriert hat.
  • Beunruhigenderweise enthielt das E-Mail auch persönliche Daten wie seine Handy-Nummer. Das deutet auf eine massgeschneiderte Spear-Phishing-Attacke hin.
  • Als sich der Kunde an den Digitec-Kundendienst wendete, wurde ihm bestätigt, dass Betrüger dank einer IT-Schwachstelle in den Besitz persönlicher Daten gekommen seien.
  • Bei den «potenziell betroffenen Daten» handelt es sich nach aktuellem Kenntnisstand um Name, Geschlecht, Telefonnummer, Postanschrift und E-Mail-Adresse.
  • Kreditkarteninformationen seien nicht in dem System gespeichert gewesen, und konnten darum auch nicht gestohlen werden, versichert Digitec. «Wir haben auch keine Hinweise darauf, dass Login-Daten entwendet wurden.»
  • Fraglich ist, ob der Datendiebstahl in Verbindung steht mit einem Ende August publik gemachten Datenklau. Damals teilte der Bund mit, es seien 21'000 Login-Daten von Schweizer Internet-Nutzern Kriminellen in die Hände gefallen.
  • Ein anonymer Informant bot watson damals gegen Geld exklusive Informationen zum Datenklau an und behauptete, die vierfache Menge an Login-Daten sei gestohlen worden.
  • Digitec hat ausführlich Stellung genommen (siehe unten).

Das sagt Digitec

Digitec-Mediensprecher Alex Hämmerli hat mit einer ausführlichen Stellungnahme auf unsere Anfrage reagiert. Und er bestätigt die oben gemachten Angaben in allen Punkten.

«Wir entschuldigen uns bei den betroffenen Kunden für die Unannehmlichkeiten. Die abgegriffenen Kontaktdaten werden unseres Wissens nach für Phishing-Mails missbraucht. Links und Anhänge von Mails mit dubiosen Absendern sollte man generell nie öffnen. Wir bitten unsere Kunden, uns verdächtige E-Mails auf die Adresse fraud@digitecgalaxus.ch weiterzuleiten, sofern die Vermutung besteht, dass darin enthaltene Angaben von Digitec kommen. Diese helfen uns bei unseren weiteren Abklärungen.»

Der Angriff erfolgte laut Hämmerli über den alten Online-Shop von Digitec, der neue Digitec-Shop sei nicht betroffen:

«Wir gehen zurzeit davon aus, dass die Betrüger über unseren alten Digitec-Shop auf einzelne Kundenkonten zugreifen konnten. Potenziell betroffen sind daher gemäss aktuellem Wissensstand Kundendaten von 2001 bis maximal Mitte 2014. Die mutmassliche Sicherheitslücke ist in der Zwischenzeit geschlossen. Der neue Digitec-Shop ist gemäss unseren Recherchen nicht betroffen, dasselbe gilt für Galaxus.»

Der Kreis der Betroffenen halte sich in Grenzen, sagt der Digitec-Sprecher, ohne konkrete Zahlen zu nennen.

«Wir stehen im aktuellen Fall (...) im engen Austausch mit der Bundesmeldestelle MELANI. Aus der bisherigen Meldequote des MELANI schliessen wir, dass sich der Kreis der Betroffenen in Grenzen hält. Daher haben wir diejenigen Kunden individuell informiert, von denen wir wissen, dass ihre Kontaktdaten abgegriffen wurden.»

Zwischen dem aktuellen Fall und den Phishing-Attacken im August und September gibt es laut Hämmerli «nach heutigem Erkenntnisstand keinen Zusammenhang». Denn: «Damals wurden Logins bei uns durchprobiert, die woanders gestohlen wurden.»

Update: Die Migros-Tochter hat auf ihrer Website eine Stellungnahme «zum digitec-Leck» veröffentlicht.

Das ist passiert

Die Vorgeschichte: Digitec-Kunde Pascal (Name geändert) wendet sich am 16. November an die watson-Redaktion, weist auf einen mutmasslichen Hackerangriff auf Digitec hin und schreibt:

«Ich kontaktiere Sie, da es Digitec bisher versäumt hat, dies ihren Kunden mitzuteilen und Digitec-Kunden, welche bereits seit dieser Zeit ein Konto besitzen, zur Sicherheit ihre Passwörter ändern sollten, auch wenn Digitec beteuert, dass diese nicht betroffen waren.»

Seine happigen Vorwürfe belegt Pascal gegenüber watson mit mehreren Screenshots. Und diese sind tatsächlich brisant.

Digitec-Kundendaten gestohlen – so reagierte der Kundendienst

1 / 10
Digitec gehackt – Kundendaten gestohlen
Ein Digitec-Kunde erhielt dieses massgeschneiderte Phishing-Mail. Es wurde ihm an eine Mailadresse geschickt, die er nur für sein Digitec-Kundenkonto verwendet. (Screenshots: watson / User-Input)
Auf Facebook teilenAuf X teilen

Nachdem sich Pascal am 27. Oktober an den Digitec-Kundendienst wendet, wird zunächst beschwichtigt. Nach Abklärungen heisst es allerdings ein paar Tage später:

«Wir haben nun doch Grund zur Annahme, dass Betrüger über uns in den Besitz einiger Ihrer persönlichen Daten gekommen sind. Es sieht danach aus, dass es ihnen gelungen ist, auf alte Systeme zuzugreifen und so an Daten von 2001 bis Mitte 2014 zu kommen. Bei den potenziell betroffenen Daten handelt es sich nach aktuellem Kenntnisstand um Name, Geschlecht, Telefonnummer, Postanschrift und E-Mail-Adresse. Die mögliche Lücke dürfte nun geschlossen sein.
quelle: e-mail digitec-kundendienst

Kleiner Trost aus Sicht der Digitec-Kunden: Gegenüber Pascal versichert der Mitarbeiter des Kundendienstes, dass keine Kreditkartendaten in falsche Hände geraten konnten:

«Stand heute erachten wir es als unmöglich, dass die Betrüger durch uns an Ihre Kreditkarteninformationen gekommen sind. Kreditkarteninformationen waren nie in unserem System gespeichert. Die sensiblen Daten liegen bei der SIX (Saferpay) und Datatrans. Wir haben auch keine Hinweise darauf, dass Login-Daten entwendet wurden.»
quelle: e-mail digitec-kundendienst

Es fragt sich, wie der nun durch watson publik gemachte Datendiebstahl bei Digitec Galaxus mit den früheren Berichten über Angriffe auf Schweizer Internet-User zusammenhängt.

Solche persönlichen Informationen nutzen Kriminelle, um massgeschneiderte Phishing-Attacken, sogenanntes Spear Phishing, zu starten. Die Angreifer schreiben ihre Opfer mit gefälschtem Absender an und versuchen, sie zu verleiten, per Mail oder über manipulierte Webseiten sensible Daten preiszugeben. 

Frühere Vorfälle

Am 29. August veröffentlichte der Bund eine Warnung, die landesweit für Aufregung sorgte. Die Melde- und Analysestelle Informationssicherung MELANI teilte mit, ihr seien rund 21'000 Zugangsdaten, bestehend aus Mailadressen und Passwort, zugespielt worden. Diese Login-Daten seien offensichtlich gestohlen worden und würden für illegale Zwecke missbraucht.

Die gestohlenen Login-Daten wurden von Kriminellen unter anderem dazu verwendet, um sich in fremde Digitec-Kundenkonti einzuloggen. Digitec-Sprecher Alex Hämmerli betonte am 1. September, es handle sich nicht um einen Hackerangriff:

«Weder Digitec noch Galaxus wurden gehackt! Aufgrund uns vorliegender Informationen müssen wir aber davon ausgehen, dass sich Betrüger mit den extern ergatterten Login-Daten auch Zugang zu Konten unserer Onlineshops verschaffen konnten. Unbefugte sind also im Besitz einer umfangreichen Liste mit Mailadressen und dazugehörigen Passwörtern. Die Liste wurde mit unseren Onlineshops abgeglichen.»
quelle: onlinepc.ch

Der Online-Händler sah sich bereits am 31. August veranlasst, die möglicherweise kompromittierten Konti von Kunden zu blockieren und die Betroffenen zu informieren, dass sie aus Sicherheitsgründen das Passwort ändern müssten.

Und jetzt wird es richtig merkwürdig!

Am 11. September meldete sich ein Unbekannter – nennen wir ihn Mister X – mit einem fragwürdigen Angebot bei der watson-Redaktion. Er habe nichts mit dem Datendiebstahl zu tun, könne aber exklusive Informationen anbieten, schrieb er in einem anonymen Mail. Dafür wolle er 8000 Franken in Bar.

watson liess sich nicht auf das Angebot ein.

Interessant sind seine per Tor-Mail gemachten Erläuterungen alleweil – und erscheinen angesichts der jüngsten Erkenntnisse zum Datendiebstahl bei Digitec in neuem Licht.

Mister X schrieb uns damals, der Datendiebstahl sei weit umfangreicher als die vom Bund gemeldeten 21'000 Anmeldedaten. Glaubt man seinen Ausführungen, dann wurde einem Unternehmen, das der Informant als «onlineShop(Patient0)» bezeichnet, das Vierfache, also gut 80'000 Logins, gestohlen.

«Logt man sich mit den Zugangsdaten beim onlineShop(Patient0) ein, erhält man Informationen wie Personalien, Geburtsdatierung, E-Mail, Telefonnummer, Kaufverhalten etc.»

Die Zugangsdaten seien bereits seit mehreren Monaten auf schwer erreichbaren Webseiten (vermutlich über die Anonymisierungs-Software Tor) erhältlich gewesen, so Mister X.

Für 8000 Franken könnte er nicht nur die Zugangsdaten präsentieren und aufzeigen auf welchen Webseiten sie lagern, sondern auch den Namen des bestohlenen Online-Shops nennen.

Wer gemeint ist, wissen wir bis heute nicht.

Das könnte dich auch interessieren:

80 Rappen inklusiv Versand für ein Ladekabel aus China

Video: watson/Lya Saxer

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
37 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Fanor
16.11.2017 15:27registriert November 2017
Ich fände es fair, wenn der Herr schon seinen eigenen Namen abdeckt und die Mail dann veröffentlicht, dann auch den Namen des Digitec-Mitarbeiters. Das wäre nur fair.
1556
Melden
Zum Kommentar
avatar
HPOfficejet3650
16.11.2017 16:25registriert November 2015
Die Werbung ist irgendwie schlecht platziert, finde ich 😂
Daten-GAU bei Digitec – sensible Kundendaten gestohlen, für gezielte Angriffe missbraucht
Die Werbung ist irgendwie schlecht Platziert finde ich😂
1384
Melden
Zum Kommentar
avatar
Gustav.s
16.11.2017 15:09registriert September 2015
Sowas liest man zufällig hier. Digitec müsste sofort auf der Hauptseite informieren, damit Betroffene sofort ihr Passwort ändern können. Wenn man denn das Passwort überhaupt ändern kann.....
8214
Melden
Zum Kommentar
37
Wo die 800'000 Auslandschweizer wohnen – und in welchen 5 Ländern KEIN EINZIGER
Die Schweiz ist eine Nation von Auswanderinnen und Auswanderern. Diesen Schluss legt die Auslandschweizerstatistik nahe. Die Schweizer Gemeinde im Ausland wuchs 2023 um 1,7 Prozent. Nahezu zwei Drittel davon lebt in Europa.

Am 31. Dezember 2023 waren 813'400 Schweizerinnen und Schweizer bei einer Vertretung im Ausland angemeldet, wie das Bundesamt für Statistik (BFS) am Donnerstag mitteilte. 2022 war die Auslandschweizer-Bevölkerung noch um 1,5 Prozent gewachsen.

Zur Story