Digital

Ein Digitec-Kunde schlug Alarm, weil seine Handy-Nummer und andere persönliche Informationen in die Hände von Kriminellen gefallen sind.  bildmontage: watson

Daten-GAU bei Digitec – sensible Kundendaten gestohlen, für gezielte Angriffe missbraucht

Der grösste Schweizer Online-Shop bestätigt, dass «Betrüger» in den Besitz «persönlicher Daten» gekommen seien. Potenziell betroffen seien Kundendaten von 2001 bis maximal Mitte 2014.

16.11.17, 14:59 17.11.17, 06:50

Was wir wissen

Das sagt Digitec

Digitec-Mediensprecher Alex Hämmerli hat mit einer ausführlichen Stellungnahme auf unsere Anfrage reagiert. Und er bestätigt die oben gemachten Angaben in allen Punkten.

«Wir entschuldigen uns bei den betroffenen Kunden für die Unannehmlichkeiten. Die abgegriffenen Kontaktdaten werden unseres Wissens nach für Phishing-Mails missbraucht. Links und Anhänge von Mails mit dubiosen Absendern sollte man generell nie öffnen. Wir bitten unsere Kunden, uns verdächtige E-Mails auf die Adresse fraud@digitecgalaxus.ch weiterzuleiten, sofern die Vermutung besteht, dass darin enthaltene Angaben von Digitec kommen. Diese helfen uns bei unseren weiteren Abklärungen.»

Der Angriff erfolgte laut Hämmerli über den alten Online-Shop von Digitec, der neue Digitec-Shop sei nicht betroffen:

«Wir gehen zurzeit davon aus, dass die Betrüger über unseren alten Digitec-Shop auf einzelne Kundenkonten zugreifen konnten. Potenziell betroffen sind daher gemäss aktuellem Wissensstand Kundendaten von 2001 bis maximal Mitte 2014. Die mutmassliche Sicherheitslücke ist in der Zwischenzeit geschlossen. Der neue Digitec-Shop ist gemäss unseren Recherchen nicht betroffen, dasselbe gilt für Galaxus.»

Der Kreis der Betroffenen halte sich in Grenzen, sagt der Digitec-Sprecher, ohne konkrete Zahlen zu nennen.

«Wir stehen im aktuellen Fall (...) im engen Austausch mit der Bundesmeldestelle MELANI. Aus der bisherigen Meldequote des MELANI schliessen wir, dass sich der Kreis der Betroffenen in Grenzen hält. Daher haben wir diejenigen Kunden individuell informiert, von denen wir wissen, dass ihre Kontaktdaten abgegriffen wurden.»

Zwischen dem aktuellen Fall und den Phishing-Attacken im August und September gibt es laut Hämmerli «nach heutigem Erkenntnisstand keinen Zusammenhang». Denn: «Damals wurden Logins bei uns durchprobiert, die woanders gestohlen wurden.»

Update: Die Migros-Tochter hat auf ihrer Website eine Stellungnahme «zum digitec-Leck» veröffentlicht.

Das ist passiert

Die Vorgeschichte: Digitec-Kunde Pascal (Name geändert) wendet sich am 16. November an die watson-Redaktion, weist auf einen mutmasslichen Hackerangriff auf Digitec hin und schreibt:

«Ich kontaktiere Sie, da es Digitec bisher versäumt hat, dies ihren Kunden mitzuteilen und Digitec-Kunden, welche bereits seit dieser Zeit ein Konto besitzen, zur Sicherheit ihre Passwörter ändern sollten, auch wenn Digitec beteuert, dass diese nicht betroffen waren.»

Seine happigen Vorwürfe belegt Pascal gegenüber watson mit mehreren Screenshots. Und diese sind tatsächlich brisant.

Digitec-Kundendaten gestohlen – so reagierte der Kundendienst

Nachdem sich Pascal am 27. Oktober an den Digitec-Kundendienst wendet, wird zunächst beschwichtigt. Nach Abklärungen heisst es allerdings ein paar Tage später:

«Wir haben nun doch Grund zur Annahme, dass Betrüger über uns in den Besitz einiger Ihrer persönlichen Daten gekommen sind. Es sieht danach aus, dass es ihnen gelungen ist, auf alte Systeme zuzugreifen und so an Daten von 2001 bis Mitte 2014 zu kommen. Bei den potenziell betroffenen Daten handelt es sich nach aktuellem Kenntnisstand um Name, Geschlecht, Telefonnummer, Postanschrift und E-Mail-Adresse. Die mögliche Lücke dürfte nun geschlossen sein.

quelle: e-mail digitec-kundendienst

Kleiner Trost aus Sicht der Digitec-Kunden: Gegenüber Pascal versichert der Mitarbeiter des Kundendienstes, dass keine Kreditkartendaten in falsche Hände geraten konnten:

«Stand heute erachten wir es als unmöglich, dass die Betrüger durch uns an Ihre Kreditkarteninformationen gekommen sind. Kreditkarteninformationen waren nie in unserem System gespeichert. Die sensiblen Daten liegen bei der SIX (Saferpay) und Datatrans. Wir haben auch keine Hinweise darauf, dass Login-Daten entwendet wurden.»

quelle: e-mail digitec-kundendienst

Es fragt sich, wie der nun durch watson publik gemachte Datendiebstahl bei Digitec Galaxus mit den früheren Berichten über Angriffe auf Schweizer Internet-User zusammenhängt.

Solche persönlichen Informationen nutzen Kriminelle, um massgeschneiderte Phishing-Attacken, sogenanntes Spear Phishing, zu starten. Die Angreifer schreiben ihre Opfer mit gefälschtem Absender an und versuchen, sie zu verleiten, per Mail oder über manipulierte Webseiten sensible Daten preiszugeben. 

Frühere Vorfälle

Am 29. August veröffentlichte der Bund eine Warnung, die landesweit für Aufregung sorgte. Die Melde- und Analysestelle Informationssicherung MELANI teilte mit, ihr seien rund 21'000 Zugangsdaten, bestehend aus Mailadressen und Passwort, zugespielt worden. Diese Login-Daten seien offensichtlich gestohlen worden und würden für illegale Zwecke missbraucht.

Die gestohlenen Login-Daten wurden von Kriminellen unter anderem dazu verwendet, um sich in fremde Digitec-Kundenkonti einzuloggen. Digitec-Sprecher Alex Hämmerli betonte am 1. September, es handle sich nicht um einen Hackerangriff:

«Weder Digitec noch Galaxus wurden gehackt! Aufgrund uns vorliegender Informationen müssen wir aber davon ausgehen, dass sich Betrüger mit den extern ergatterten Login-Daten auch Zugang zu Konten unserer Onlineshops verschaffen konnten. Unbefugte sind also im Besitz einer umfangreichen Liste mit Mailadressen und dazugehörigen Passwörtern. Die Liste wurde mit unseren Onlineshops abgeglichen.»

quelle: onlinepc.ch

Der Online-Händler sah sich bereits am 31. August veranlasst, die möglicherweise kompromittierten Konti von Kunden zu blockieren und die Betroffenen zu informieren, dass sie aus Sicherheitsgründen das Passwort ändern müssten.

Und jetzt wird es richtig merkwürdig!

Am 11. September meldete sich ein Unbekannter – nennen wir ihn Mister X – mit einem fragwürdigen Angebot bei der watson-Redaktion. Er habe nichts mit dem Datendiebstahl zu tun, könne aber exklusive Informationen anbieten, schrieb er in einem anonymen Mail. Dafür wolle er 8000 Franken in Bar.

watson liess sich nicht auf das Angebot ein.

Interessant sind seine per Tor-Mail gemachten Erläuterungen alleweil – und erscheinen angesichts der jüngsten Erkenntnisse zum Datendiebstahl bei Digitec in neuem Licht.

Mister X schrieb uns damals, der Datendiebstahl sei weit umfangreicher als die vom Bund gemeldeten 21'000 Anmeldedaten. Glaubt man seinen Ausführungen, dann wurde einem Unternehmen, das der Informant als «onlineShop(Patient0)» bezeichnet, das Vierfache, also gut 80'000 Logins, gestohlen.

«Logt man sich mit den Zugangsdaten beim onlineShop(Patient0) ein, erhält man Informationen wie Personalien, Geburtsdatierung, E-Mail, Telefonnummer, Kaufverhalten etc.»

Die Zugangsdaten seien bereits seit mehreren Monaten auf schwer erreichbaren Webseiten (vermutlich über die Anonymisierungs-Software Tor) erhältlich gewesen, so Mister X.

Für 8000 Franken könnte er nicht nur die Zugangsdaten präsentieren und aufzeigen auf welchen Webseiten sie lagern, sondern auch den Namen des bestohlenen Online-Shops nennen.

Wer gemeint ist, wissen wir bis heute nicht.

Das könnte dich auch interessieren:

80 Rappen inklusiv Versand für ein Ladekabel aus China

1m 28s

80 Rappen inklusiv Versand für ein Ladekabel aus China

Video: watson/Lya Saxer

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

10 Massnahmen, um der digitalen Verfolgung zu entgehen

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

Alle Artikel anzeigen
Abonniere unseren NewsletterNewsletter-Abo
39
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
39Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Iltis 18.11.2017 14:57
    Highlight Auch ich habe vor einigen Wochen mein erstes personalisiertes Spam Mail erhalten, DHL, mit einer korrekten ehmaligen Wohnadresse. Nun ist das Leck wohl gefunden. Digitec Kunde bin ich seit den Anfangszeiten dieser Firma, informiert wurde ich nicht. Was ist wohl sonst noch raus?!
    1 0 Melden
  • half+half 17.11.2017 08:53
    Highlight Das dürfte dann hoffentlich auch Marcel Doblers Eifer in Sachen E-Voting etwas bremsen...
    12 6 Melden
  • redeye70 17.11.2017 06:45
    Highlight Dem dubiosen Angebot des „Informanten“ habt ihr zurecht nicht nachgegeben. Scheint mir eher, dass der sich wichtig machen und auf einfache Art zu Geld machen wollte. Gibt es in der CH keine Anonymoushacker mit Nonprofit-Denken?
    4 11 Melden
  • Barracuda 16.11.2017 20:57
    Highlight Na toll, genau das gleiche Mail erhalten mit persönlichen Daten wie Name und Handy-Nummer. Von wegen "wir haben die betroffenen Kunden informiert." Von digitec habe ich überhaupt nichts gehört und ebenfalls nur dank watson von dem Desaster erfahren. Digitec hat nicht mal ansatzweise eine Ahnung vom Ausmass. Wenn Digitec so mit meinen Daten umgeht, bleibt das nicht ohne Konsequenzen.
    34 7 Melden
  • Posersalami 16.11.2017 17:37
    Highlight „Wir entschuldigen uns bei den betroffenen Kunden für die Unannehmlichkeiten.“

    Das ist aber nett vom Kundendienst!

    Wieso aber werden die Kunden nicht informiert, wenn da so viel abhanden kommt? Unfassbar
    68 2 Melden
  • B-Arche 16.11.2017 17:20
    Highlight Gut dass meine Kreditkarten die dort hinterlegt mehr gültig sind und auch keine AHV-Nummern dort gespeichert waren.

    Equifax war da doch eine andere Hausnummer.

    Es ist trotzdem so dass man immer zurückhaltender wird überhaupt irgendetwas bei Dienstleistern zu speichern. Und es ist kein Ende in Sicht.
    13 11 Melden
  • Roro Hobbyrocker 16.11.2017 17:08
    Highlight Kurz vor dem grossen Weihnachtsgeschäft. Steckt da wohl die Konkurrenz dahinter. 🤔
    10 37 Melden
    • Iltis 18.11.2017 15:03
      Highlight Sehr gut möglich. So ähnlich läuft das ja auch mit den Cablecom keys.....:-)
      1 1 Melden
  • DonaldTrump_ 16.11.2017 16:25
    Highlight Die Werbung ist irgendwie schlecht platziert, finde ich 😂
    137 4 Melden
    • @schurt3r 16.11.2017 16:27
      Highlight Und Hopp!
      33 5 Melden
  • Bazoo 16.11.2017 16:18
    Highlight Das würde erklären, weshalb mir die letzten Monate mein PSN Account geklaut wurde (hab ihn aber wieder) meine E-Mail Adresse mindestens 12 mal attackiert wurde und die Sicherheitsmechanismen des Mail Providers ausgelöst hat. Hinzu kommt eine Neu-Identifikation bei Paypal und eine gesperrte Kreditkarte. Zum Glück sind meine Passwörter so dermassen stark, sonst wäre es wohl mehr geworden als lediglich ein paar heikle Situationen. Also liebe Leute, Passwörter sind echt wichtig 😂
    37 28 Melden
    • Charlie7 16.11.2017 19:49
      Highlight Wer blitzt bei einem solchen Kommentar?
      18 21 Melden
    • Barracuda 16.11.2017 21:53
      Highlight @Charlie7
      Ich habe ja nicht saumässig viel Ahnung. Aber was nützt dir das geilste Passwort, wenn dein Anbieter so amateurhaft mit sensiblen Daten umgeht wie digitec? Eventuell von daher die Blitze?
      13 2 Melden
    • wee 16.11.2017 22:38
      Highlight Weils ein wirrer Kommentar ist und man den zusammenhang nichtmal mit der Taschenlampe findet.
      25 5 Melden
  • EMkaEL 16.11.2017 16:15
    Highlight Dann leite ich ein gestern erhaltenes phishing mail, welches meinen Nachnamen und Strasse samt hausnummer enthielt, an die fraud adresse von digitec weiter. Absender ist "Postfinance <support@chocolatefireguard.co.uk>. Ein Post-Konto habe ich nicht. 🙄
    24 4 Melden
  • Xriss 16.11.2017 16:07
    Highlight Bei Bild 8 schön noch die M&M-AmEx platziert. Sicher nur zufällig..
    5 3 Melden
    • @schurt3r 16.11.2017 16:16
      Highlight ...
      14 6 Melden
  • Charlie7 16.11.2017 16:01
    Highlight Ich habe jetzt gerade ein Phishing-Mail von "DHL" im Spamordner im Webmail entdeckt.
    Dort ist meine alte Wohnadresse und meine aktuelle Handynummer erwähnt. Ohne diesen Bericht hier, wäre ich gar nie auf dieses Mail aufmerksam geworden.

    Vom Eidgenössischen Steueramt habe ich Anfang Woche auch ein Phishing-Mail erhalten - allerdings kam da "nur" mein Familienname drin vor (der sich aber nicht von der Emailadresse ableiten lässt).

    Und natürlich habe ich mein Kundenkonto bei Digitec vor 2014 erstellt.
    26 3 Melden
  • TheGoon 16.11.2017 15:59
    Highlight pfff.. wird Digitec hier für den stümperhaften Umgang mit Kundendaten belangt?

    Habe es satt als Kunde immer das Versuchskaninchen zu sein.
    34 26 Melden
  • Charlie B. 16.11.2017 15:47
    Highlight Und was bedeutet der grinsende Totenschädel?
    11 2 Melden
    • @schurt3r 16.11.2017 16:16
      Highlight ...
      18 11 Melden
  • Alnothur 16.11.2017 15:46
    Highlight Wieso ist das alte System überhaupt noch am Internet? Der alte Shop ist ja längst online... Naja bei dem ganzen Gebastel, das Digitec-Galaxus laufen hat...
    13 32 Melden
    • Charlie Brown 16.11.2017 19:40
      Highlight Wer sagt, der alte shop sei noch am „internet“?
      5 5 Melden
    • Alnothur 16.11.2017 20:12
      Highlight Das ergibt sich daraus, dass Accountdaten des alten Systems gestohlen wurden. Das geht aber nur von ausserhalb, wenn dieses System noch am Internet hängt.
      8 5 Melden
    • Charlie Brown 17.11.2017 05:34
      Highlight Wann wurden sie gestohlen? Nur weil sie jetzt auftauchen müssen sie nicht gerade erst gestohlen worden sein.
      11 2 Melden
  • Fanor 16.11.2017 15:27
    Highlight Ich fände es fair, wenn der Herr schon seinen eigenen Namen abdeckt und die Mail dann veröffentlicht, dann auch den Namen des Digitec-Mitarbeiters. Das wäre nur fair.
    153 6 Melden
    • @schurt3r 16.11.2017 15:33
      Highlight Danke fürs berechtigte Feedback!
      Das war mein Versehen.
      Ist nun korrigiert.
      65 10 Melden
  • birdiee 16.11.2017 15:10
    Highlight Klingt alles sehr spannend...
    sind wir mal gespannt obs noch weitergeht oder was hier noch auftaucht... Aber Passwort mit einer gewissen Regelmässigkeit ändern ist sicher nicht verkehrt... Hoffen wir mal, dass keine weiteren Daten (KK?) gestohlen wurden!
    20 5 Melden
    • @schurt3r 16.11.2017 15:16
      Highlight Digitech versichert, die sensiblen Daten lägen bei SIX (Saferpay) und Datatrans. «Login-Passwörter speichern wir zudem nicht als Klartext.»
      22 5 Melden
    • birdiee 16.11.2017 15:18
      Highlight Naja, you man weiss nie und lieber einmal mehr als einmal zu wenig das PW wechseln #Paranoia!

      Frage am Rande, es würde sich jetzt jemand trotzdem mit meinen gestohlenen Logindaten was an eine neue Adresse bestellen, wer haftet?
      17 3 Melden
    • Charlie B. 16.11.2017 15:49
      Highlight @birdiee: es wurde keine Login Daten entwendet und der neue Shop ist nicht betroffen.
      12 1 Melden
    • birdiee 16.11.2017 15:59
      Highlight @c.b. ja hier jetzt nicht, obwohl das ja auch noch nicht wirklich ganz klar ist.
      aber ende august hatte das melani ja die warnung rausgebracht oder? für den aussergewöhnlichen fall, dass trotzdem was dergleichen passieren würde, interessiert mich die rechtliche situation...
      5 2 Melden
    • #bringhansiback 16.11.2017 16:22
      Highlight Gut, ich kenne den alten Shop nicht. Aber wenn beim neuen die Kreditkartendaten auch noch bei SIX liegen frage ich mich schon, warum ich dann im Kundencenter von Digitec/Galaxus die Kreditkarte, welche ich vor 2 Jahren für einen Kauf benötigte, im Klartext vorfinde...
      9 9 Melden
  • Gustav.s 16.11.2017 15:09
    Highlight Sowas liest man zufällig hier. Digitec müsste sofort auf der Hauptseite informieren, damit Betroffene sofort ihr Passwort ändern können. Wenn man denn das Passwort überhaupt ändern kann.....
    81 14 Melden
    • @schurt3r 16.11.2017 15:15
      Highlight Kann man ;-)
      19 4 Melden
    • Gustav.s 16.11.2017 15:19
      Highlight Ja inzwischen auch gesehen. Danke für Info
      8 2 Melden
    • FAIKUE 16.11.2017 17:22
      Highlight Passwörter sind nicht bet offen. Und natürlich kann man das Passwort ändern, das wäre sonst ja völliger Blödsinn. Nur schon weil man Passwörter mindestens 1x im Jahr ändern sollte.
      3 5 Melden
    • Foxie 16.11.2017 18:27
      Highlight Die Passwörter waren nicht betroffen (angeblich) und sind hoffentlich nur als Hash, nicht als Klartext verfügbar (entsprechende Rückfrage meinerseits wurde von digitec ignoriert).

      Sensitive Daten, die von den Phishern genutzt worden sind, waren E-Mail Adresse und Handynummer.

      Aber ja, eine aktivere Mitteilung wäre wünschenswert gewesen, habe mir damals (war vor 2.5 Wochen) vorgenommen, an die Medien zu gehen, beliess es aber leider bei einer Meldung an digitec und die MELANI.
      5 4 Melden
    • Mafi 16.11.2017 22:55
      Highlight Passwörter sind nicht betroffen. Wenn sich digitec der Lücke mittlerweile bewusst ist, können sie das ziemlich definitiv sagen.

      Passwörter sind anscheinend korrekterweise anderweitig gelagert.
      1 1 Melden

Darum lehnt der Bundesrat «No Billag» ab – die 5 wichtigsten Argumente im Überblick

Für ein kleinräumiges, mehrsprachiges Land wie die Schweiz mit ihrer direkten Demokratie sei ein vielfältiges Medienangebot wichtig, argumentiert der Bundesrat. Die Initiative nehme in Kauf, dass nur noch produziert werde, was rentiere.

In eine besonders schwierige Situation kämen die Randregionen und Sprachminderheiten, hält der Bundesrat weiter fest. Je kleiner das Einzugsgebiet, desto unrealistischer sei es, ein Angebot rein kommerziell zu finanzieren. Die Schweiz wäre das erste Land …

Artikel lesen