Suisse-Velo.ch, bekannt für ihren «Lost & Found»-Service und die Velo-Versicherung, wurde gehackt. Betroffen sind rund 30'000 User-Accounts. Die unbekannten Kriminellen erbeuteten E-Mail-Adressen und Passwörter der Nutzerinnen und Nutzer.
Die Betroffenen wurden am Donnerstag von Suisse Velo per E-Mail informiert. Darin heisst es: «Aus Sicherheitsgründen und voller Transparenz teilen wir Ihnen mit, dass unsere Entwicklungsplattform von Suisse-Velo angegriffen wurde.» Nach einer Analyse habe man festgestellt, dass «E-Mail-Adressen/Login und Passwörter» gestohlen wurden. Suisse Velo hat den erfolgreichen Cyberangriff am Freitag gegenüber watson bestätigt.
Weitere Daten seien, so der aktuelle Stand der Analyse, nicht gestohlen worden:
In Sachen Zahlungswesen und Kreditkartentransaktionen arbeite man mit einem Partner zusammen. «Wir selbst haben keinerlei Zahlungsdaten bei uns, somit waren diese Daten auch zu keiner Zeit gefährdet», heisst es auf Anfrage.
Suisse Velo bietet Dienstleistungen wie Lost & Found Service, Vollkaskoversicherung und eine Pannen-Assistance für Velofahrerinnen und Fahrer an. Die Velo-Versicherung wird beispielsweise von Sportfachgeschäften gleich beim Kauf eines Velos angeboten. Die Kunden geben dabei Daten wie Name, E-Mail und Telefonnummer an.
Suisse Velo spricht von einem «sehr raffinierten Vorgehen unbekannter Täter», die am letzten Wochenende zugeschlagen haben. Der Angriff erfolgte am Sonntag, 5. September 2021 und sei gleichentags bemerkt worden.
Kriminelle führen ihre Cyberangriffe oft nachts oder am Wochenende aus, wenn Attacken tendenziell weniger schnell bemerkt werden.
Man habe «die Schwachstelle identifiziert und behoben», schreibt Suisse Velo. Vorsichtshalber wurden alle Passwörter sofort zurückgesetzt.
Alle betroffenen Userinnen und User wurden am Donnerstag – also vier Tage nach dem Angriff – per E-Mail informiert und aufgefordert, ein neues Passwort zu setzen.
Zudem sei das National Cyber Security Centre (NCSC) sofort informiert worden. Weiter «sei in Abklärung, ob eine Anzeige bei der Polizei gemacht» werde.
Suisse Velo schreibt:
Suisse Velo rät der Kundschaft:
Betroffene finden auf der Webseite des National Cyber Security Centre (NCSC) allgemeine Informationen zum Schutz von Konten und Passwörtern. Insbesondere für den E-Mail-Account sollte immer ein einzigartiges Passwort verwendet werden.
In den letzten Tagen und Wochen wurden diverse erfolgreiche Cyberangriffe auf Schweizer Firmen und Behörden bekannt: etwa Comparis, Neuenburger Kantonalbank, die Pallas Kliniken und die von watson aufgedeckten Vorfälle bei Saurer, Habasit, Rolle und Matisa.
Update: Liegen die gestohlenen Passwörter im Klartext vor?
Suisse Velo schreibt: «Die Passwörter waren verschlüsselt, aber noch nicht gehasht. Im laufenden Redesign ist die Verschlüsselung mit einem Hash in Arbeit. Da es möglich ist, dass die Täterschaft den bisherigen Schlüssel kennt oder abgezogen hat, ist es auch möglich, dass die Passwörter im Klartext vorliegen.» Die Betroffenen müssen also davon ausgehen, dass ihr Passwort nicht mehr sicher ist.
- Passwörter werden offenbar im Klartext gespeichert (sonst hätten die Hacker nur „gesalzene“ Hashes klauen können die nichts bringen)
- Produktive Kundenlogins werden auf eine ungesicherte Entwicklungsplattform kopiert.
Das sind IT-Security-Dilettanten, nichts anderes…