Beim Elektronikhändler Conrad waren Daten von 14 Millionen Kunden nicht hinreichend gesichert. Ein Eindringen in das System wurde registriert.
Name, Anschrift, Telefonnummer, E-Mail-Adresse und Kontonummer (IBAN) der registrierten Kunden konnten erbeutet werden.
Ganz schön heftig! Und das bei einem Elektronikhändler!
Ich gehöre wohl zu den Betroffenen (bis auf die Bankverbindung), auch wenn meine letzte Bestellung schon länger zurück liegt. Über alle Konsequenzen (Identitätsdiebstahl) bin ich mir noch nicht so recht im Klaren.

Aus diesem Grund habe ich am 07.06.2018 um 17:43 meine E-Mailadresse bei Conrad.de auf eine individuelle Adresse geändert (ähnliches System wie nun auch mit iOS13 mit iCloud möglich). Das Passwort war zuvor bereits ausschließlich auf deren Seite in Verwendung.

Ich traue Webshops und deren Sicherheitssystemen nicht. Im Schnitt landet einmal pro Monat eine meiner individuellen Mailadressen bei den Spammern. Wenigstens informiert Conrad aber hier die Kunden vernünftig. Die meisten reagieren überhaupt nicht, wenn Kunden sie auf die Probleme aufmerksam machen.

Habe mich gerade mal bei conrad.de eingeloggt.
Es ist noch schlimmer: Die kennen auch mein Geburtsdatum.
Und zu allem Überfluss habe ich bei meiner letzten Bestellung 2014 dummerweise auch noch Bankeinzug gewählt. Auch wenn die Bankdaten nicht bei meinen Daten angezeigt werden, muss ich wohl davon ausgehen, dass auch diese kompromittiert sind.

Conrad informiert seine Kunden übrigens nur - etwas versteckt - auf seiner Webseite. Muss man erst drauf gestoßen werden!

Der Vorfall ging bereits vor 3 Tagen durch den Nachrichten-Ticker (u.a. jeweils unter Hinweis auf bzw. Nennung der betreffenden Pressemeldung/Kundeninfo-Seite von Conrad):

Spiegel Online (19.11.2019, 18:52 Uhr): 14 Millionen potenziell Betroffene Unbekannte dringen in Computernetz von Conrad Electronic ein
Wegen einer Sicherheitslücke konnten Hacker in das Computersystem des Versandhändlers Conrad Electronic eindringen. Offenbar hatten sie dabei auch Zugriff auf Daten von Millionen Kunden.

Golem (19.11.2019, 16:17 Uhr): Datenleak bei Conrad
Der Elektronikhändler Conrad meldet, dass ein Angreifer Zugang zu Kundendaten und Kontonummern gehabt habe. Grund dafür war eine ungesicherte Elasticsearch-Datenbank.

heise (19.11.2019, 16:00 Uhr): Unbekannte dringen in Server von Conrad Electronic ein
Durch eine Sicherheitslücke verschafften sich Unbekannte Zugriff auf Conrad-Server mit 14 Millionen Kundendatensätzen.

SZ/dpa (19.11.2019, 15:09 Uhr): Online-Angreifer dringen bei Conrad Electronic ein

SZ/dpa (19.11.2019, 14:25 Uhr): Hacker dringen bei Conrad Electronic ein

sierkb
OK - bin ich leider erst verspätet drauf gestoßen.

McErik:

Schon OK. Schlimm genug die Sache, zumal es laut Golem-Bericht 2014 wohl schon einmal einen solchen bzw. ähnlichen Vorfall gegeben hat aufgrund einer Sicherheitslücke in deren Shop-System, über den sie damals auch berichteten (im Golem-Artikel ebenfalls verlinkt).

“ Ganz schön heftig! Und das bei einem Elektronikhändler!”

Und, was soll bei einem Elektronikhändler anders sein als bei einem Lebensmittel Händler ??

dam_j
Meine Vorstellung beim Schreiben des (verkürzten) Satzes war: Wer Technik verkauft, interessiert sich auch mehr für technische Lösungen in seinem Unternehmen. Anders als andere Händler, die mit Technik von Hause aus nichts am Hut haben. Aber bei Großunternehmen mögen sich die Unterschiede verwischen. In sofern gebe ich Dir schon Recht.

Ist Dein Alter derart furchterregend?

Im Ernst: Was soll jetzt daran so besonders schlimm sein?

Das ist alles ärgerlich und sollte nicht passieren, passiert aber halt. Es wurden schon bei x Unternehmen Datensätze entwendet, bei denen ich registriert war. Gibt ein paar Spammails mehr, ist doch aber kein Weltuntergang? Und was Deine Bankdaten betrifft: Hast Du Angst, die überweisen Dir jetzt Geld auf Dein Konto?

Weia

Naja, mit Bankdaten kann man ziemlich problemlos Abbuchungen auf fremde Konten veranlassen, zb Waren kaufen etc, ohne das der Kontobesitzer das mitbekommt, wenn er nicht regelmäßig seine Abbuchungen prüft.

Gibt ja meistens keinerlei Überprüfung oder Sicherheitsmaßnahmen. Die Abbucher Erlaubniss, die man meistens in einer Form ausfüllt ist ja lediglich aus rechtlichen Gründen, überprüft wird da nichts.

Uns ist das auch schonmal passiert. Ein großer Energiekonzern hat 2-3 Monate die Stromkosten für einen anderen Kunden bei uns einfach abgebucht, was uns nicht direkt aufgefallen war. Die Bank konnte nur die letzte Buchung stoppen. Der Rest wäre verloren gewesen, wenn es sich nicht um eine bekannte Firma gehandelt hätte, mit der man das natürlich regeln konnte.

Aber wenn das keine Firma, sondern zb jemand aus dem Ausland macht, ist das Geld weg

Ist mir ein Rätsel, wie das gehen soll. Ohne Unterschrift kannst Du doch keine Lastschrift veranlassen.

Und Kontonummern sind doch kein Geheimnis. Meine stehen auf jeder Rechnung von mir. Wenn das eine Gefahr wäre, wäre ich längst arm.
Lastschriften können 8 Wochen lang zurückgeholt werden. Wer bitte schaut denn in 8 Wochen kein einziges Mal auf sein Konto?

wie immer Panikmache ^^ Kontonummern findet man zu Milliarden im netz !

Raziel1

Wer ist uns? Eine verschlafene Buchhaltung? 😎

@coffee
Nein, einfach nur privates Konto. Und die Abbuchen vielen nicht direkt auf, weil wir auch beim selben Anbieter waren und zu dem Zeitpunkt mit Umzug und Neuanmeldung ein paar zusätzliche Gebühren angefallen sind, so dass die Beträge zuerst nicht ungewöhnlich erschienen. Erst bei der dritten Abbuchung, als eigentlich alles bezahlt gewesen wäre viel es natürlich auf.

@Weia
Im Internet kann man bei den meisten oder zumindest vielen online Shops und Services die Kontodaten angeben und fertig. Es wird abgebucht ohne Fragen zu stellen. Die von dir erwähnte Unterschrift, die man zb oft bei Handyverträgen oder sonstigen Verträgen für die Lastschrift abgibt, überprüft ja keiner. Die Bank kontrolliert das ja nicht wenn bei dir ein Abbucher kommt, ob irgendwo so ein Zettel im Regal liegt. Das wird höchstens dann relevant, wenn sich jemand beschwert und die Frage aufkommt ob sowas überhaupt unterschrieben wurde. Für die Abbuchung selbst spielt das aber keine Rolle. Es mag sicher Ausnahmen geben, wo noch zusätzliche Sicherheitsmaßnahmen existieren. Aber meistens reichen Kontodaten aus und man kann fröhlich einkaufen.

"Lastschriften können 8 Wochen lang zurückgeholt werden.?"

In dem Fall waren es meiner Erinnerung nach 2 Wochen, in der die Bank eine Stornierung veranlassen konnte. Aber ist jetzt auch schon länger her. Grundsätzlich ist man natürlich als Kunde im Recht, im schlechtesten Fall muss die Bank sich am Ende wohl drum kümmern und dir das Geld zurück geben, nehme ich stark an. Vor allem wenn nie eine Unterschrift gesetzt wurde.

Aber es ist trotzdem erschreckend, dass es so einfach geht und es irgendwie niemand bewusst ist. Bei anderen Bezahlungsmitteln wie Kreditkarte spricht man oft über Sicherheit aber das simple Konto kann eigentlich jeder belasten. Bis zu dem Fall war es mir nie so bewusst das man einfach nur die Kontodaten angeben muss, vor allem online, und das wars.

Das hat sich mit dem SEPA-Lastschriftverfahren definitiv geändert. Es sind jetzt 8 Wochen. Das sollte wirklich reichen, um bei Lastschriften auf der sicheren Seite zu sein.

Ah ok, ja Gottseidank hatte ich bis auf den Vorfall keinerlei solcher Probleme mehr. Aber gut zu wissen

Wie kommst du drauf?

Im Prinzip hätte ich ja gar nichts dagegen, mein Geburtsdatum zu veröffentlichen.

Das Problem hingegen ist, dass man vor allem telefonisch mit einer Anzahl im Einzelnen nicht geheimer Daten identifiziert wird.
Erst vor wenigen Tagen habe ich mehrfach mit der Service-Nummer meines DSL-Anbieters telefoniert. Typische Ansage: „Bevor wir weitermachen, geben Sie mir bitte Ihren vollständigen Namen, Ihr Geburtsdatum und die letzten drei Stellen Ihres hinterlegten Bankkontos an.“ ... „Vielen Dank!“ Und schon wurden meine Aufträge entgegen genommen und ausgeführt. Durchaus geschäftsrelevante! Bei einem späteren Anruf wurde dann auch mal nach meiner Kundennummer gefragt. Aber auch keine „geheime“ Information (im Sinne von Passwort).
Gut, es gibt noch die anschließende Auftragsbestätigung per Mail. Aber ist das auch bei anderen Plattformen so, die wohlmöglich ein Angreifer in meinem Namen besucht?
Wie häufiger, ist eine einzelne Information eher harmlos. Je mehr „freie“ Infos aber zusammenkommen, desto problematischer wird es!
Ganz nebenbei: Ich mache mich jetzt auch nicht verrückt. Aber als sehr ärgerlich empfinde ich so etwas schon.

Weil persönliche Daten von mir bei Conrad hinterlegt sind und somit sehr wahrscheinlich auch abgegriffen wurden.

Aha, dann ist das bloß eine Annhame...

Conrad Electronic SE Pressemeldung (19.11.2019): Datenpanne: Conrad Electronic Gruppe informiert vorsorglich Kunden

• Teil der Kundendaten war potenziell für widerrechtlichen Zugriff zugänglich
• Sicherheitslücke inzwischen geschlossen
• Keine Kreditkarteninformationen und keine Kundenpasswörter betroffen

Details & FAQ:

Conrad Electronic SE: Aktuelle Kundeninformation: Vorsorgliche Kundeninformation: Datenpanne bei Conrad

• Teil der Kundendaten war potenziell für widerrechtlichen Zugriff zugänglich
• Sicherheitslücke inzwischen geschlossen
• Keine Kreditkarteninformationen und keine Kundenpasswörter betroffen

Ich finde es interessant wie manche Leute auf solche Meldungen reagieren. Wirkt auf mich ein wenig Naiv.
Bitte nicht falsch verstehen. Solche Sachen sollten nicht passieren. usw.

Aber Adresshändler gab es schon vor dem Internet bzw dessen Durchbruch.
So kann ich ich mich erinnern als ein Händler meinen Vater (zu dem Zeitpunkt Versicherungsvertreter) Verschiedene Adressen angeboten hat für die Werbung. Konnte man sogar auswählen nach alter, Schulbildung, Frische Studiumsabgänger usw. Allgemein war, das bei allen der Name, Anschrift, Status (ledig usw), Alter, Beruf angegeben war.
Konto Daten kann ich mich jetzt nicht daran erinnern.

Bei meiner Recherche über diese Adresshändler bin ich auch auf die Eigenwerbung gestoßen das sie mit verschiedenen Behörden, Meldeämtern zusammen arbeiten würden. War übrigens eine GmbH.

Von daher gehe ich davon aus das diese Fall erbeutete Daten eh schon bekannt sind, was ich durchaus nicht gutheiße.

Gut finde ich das nun nicht mehr nur der Zeigefinger erhoben wird. Sondern mittels DSVGO nun auch einen schlag ins genick gibt. Bin mal gespannt was Conrad zahlen muss.

Ein verantwortungsvoller Händler, speichert die Kundennummer und ggf. auch Referenz- und Mandats-Nr. separat ab. Diese werden bei der Transaktion mit den übrigen Kundendaten abgeglichen. Nur, wenn beide Teile gehackt sind, ist ein Identitätsdiebstahl möglich. In vielen Fällen, so wie bei Conrad wohl auch, wird zusätzlich die bevorzugte Zahlungsart an einem dritten Ort abgelegt.

Referenz und Mandat-Nr. erscheinen im Transaktionsbericht der Bank und können dort Verglichen werden. Zusätzlich schütze ich mich durch ein Limit. Natürlich schaue ich fast jeden Tag in mein Konto, auch auf Reisen. Bedeutet kaum Aufwand für einen Privatmann bzw. für eine Privat-Frau, Schwule oder Lesbe. (Letzteres habe ich eingefügt, weil ich hier schon wegen Diskriminierung gerügt wurde.)

Was hat denn die Geschlechterbezeichnung mit der sexuellen Orientierung zu tun?
Hättest du Privatperson gesagt, wäre es gut gewesen.

In den meisten Fällen wird Standardsoftware verwendet und keine eigene Lösung, der Aufwand wäre für läden wie Conrad viel zu hoch. Und das Einfallstor bei Conrad war ja auch ElasticSearch und das ist nun mal etwas, dass Daten konsolidiert.
Das Problem dürfte eher ein zu spät ausgeführtes Update sein.

Ich habe tatsächlich Konten wo ich seltener drauf kucke. Allerdings liegen da auch nicht gerade Riesensummen rum.

Wenn bekannt ist, welcher Datensatz kompromittiert war – warum werden die betroffenen Kunden nicht einfach direkt (per Mail) informiert? Es scheint nur allgemein vor betrügerischen Mails gewarnt zu werden.

Oder habe ich etwas übersehen?

verstaerker
Gute Idee. Musstest Du ab er nicht so ernst nehmen.

Überlege noch mal, wie du bei einem Händler vor Ort, und Online bezahlst. Kommst du dahinter, brauchst du dir bei deinem Lebensmittel-Händler keine Gedanken machen.

=>>
D.h. aber, dass
- Paypal
- ApplePay
- Vorauskasse
vorteilhaft sind, weil der Händler gar keine kontenrelevante Informationen bekommt.

no shit, Sherlock