Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Datenpanne: Passwörter und Mail-Adressen von Rewe-Kunden stehen im Web

Unbekannte haben gut 52.000 Datensätze mit E-Mail-Adressen und Passwörtern veröffentlicht. Offenbar wurden sie von Websites des Einzelhändlers Rewe kopiert. Das Unternehmen bestätigt den Datenklau - die Passwörter wurden unverschlüsselt gespeichert.

Sammelkarten im Rewe-Angebot: Zehntausende Kundendaten offenbar kopiert Zur Großansicht
DPA

Sammelkarten im Rewe-Angebot: Zehntausende Kundendaten offenbar kopiert

Köln - Der Datenklau bei Rewe wird für Zehntausende Kunden zum ernsten Problem: Am Dienstag veröffentlichten Unbekannte im Web ein Textdokument mit gut 52.000 Datensätzen, die E-Mail-Adresse und zugehörige Passwörter von Verbrauchern enthalten.

Ein Rewe-Sprecher bestätigt auf Anfrage: "Eine signifikant hohe Anzahl von Daten aus unseren vom Hackerangriff betroffenen Datenbanken sind auf dieser Seite zu sehen." Laut dem Sprecher sei man noch "in der Sicherheitsüberprüfung".

Am Montag sagte ein Rewe-Sprecher laut Nachrichtenagentur dpa, es sei nicht feststellbar, ob die Daten kopiert wurden. Die Datenbanken beinhalteten keine sensiblen Angaben wie Bankverbindungen oder Kreditkartennummern. Rewe habe alle betroffenen Kunden per E-Mail über den Vorfall informiert und sie aufgefordert, ihr Passwort zu ändern, sagte der Sprecher.

Hotline-Mitarbeiterin weiß nichts von der Veröffentlichung der Daten

Das Unternehmen hatte für betroffene Kunden eine kostenlose Hotline eingerichtet (0800/20030340). Bei einem Anruf am späten Dienstagnachmittag wusste man dort nicht, dass die Datensätze im Netz veröffentlicht worden waren.

Damit steigt die Gefahr für die betroffenen Kunden, dass die Informationen missbraucht werden. Viele Nutzer verwenden dasselbe Passwort bei mehreren Internetdiensten. Da sowohl E-Mail-Adressen als auch Passwörter entwendet wurden, sollten Kunden schnellstens ihre Logins bei Diensten wie Ebay, Facebook und Google Mail ändern.

Kriminelle nutzen gekaperte Konten bei solchen Diensten für Betrügereien. So erhielten zum Beispiel Ebay-Kunden, die für teure Artikel geboten hatten, aber nicht den Zuschlag erhielten, zeitweise über das Ebay-Nachrichtensystem betrügerische Angebote, den Artikel doch noch zu kaufen. Verschickt wurden diese Nachrichten über gekaperte Ebay-Konten.

Rewes Dienstleister speicherte Passwörter unverschlüsselt

Laut Rewe hat der technische Dienstleister die Passwörter unverschlüsselt gespeichert. Ein Rewe-Sprecher sagte: "Leider mussten wir feststellen, dass die Anmeldedaten im Klartext vorlagen. Wir waren davon ausgegangen, dass die Daten in einem ausreichend gesicherten System untergebracht seien."

Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Web-Dienste wie Wordpress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. Dabei werden die Passwörter nicht nur einfach mit einem Algorithmus verschlüsselt, sondern auch um zufällige Zeichenfolgen ergänzt, damit Angreifer gängige Passwörter nicht einfach anhand von Wörterbüchern per Durchprobieren erraten können.

lis

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 78 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Zertifikat?
Conspirator 19.07.2011
Gibt es für IT-Sicherheit eigentlich keine Zertifikate? Damit ein Unternehmen wenigstens auf solche Grundlagen geprüft wird? Wäre mal Zeit.
2. „Das Internet darf kein rechtsfreier Raum sein“
Strai 19.07.2011
Das obige Zitat hört man doch immer von Politikern, die selbst kaum Ahnung vom Internet haben. Wohlan, meine Damen und Herren, hier bietet sich eine Bühne für Sie: Wie wäre es denn mit einem Gesetzt, dass das Speichern von Passwörtern im Klartext verbietet? Oder zumindest die Unternehmen zwingt, offenzulegen, wie Passwörter gespeichert werden? Es kann doch wohl nicht sein, dass ein Unternehmen sensible Daten einfach so verliert und nicht zur Rechenschaft gezogen wird? Das Internet darf doch wohl kein rechtsfreier Raum sein?!
3. .
Waffelbäcker 19.07.2011
Solange Passwörter immer noch unsicher gespeichert werden (oder sogar einfach als Text wie in diesem Fall), werde ich solche Hackerangriffe mit anschließender Veröffentlichung der Daten nicht verurteilen. Wenn ich so sensible Daten an ein bekanntes, "seriöses" Unternehmen schicke, muss ich in gutem Glauben davon ausgehen können, dass diese dort in vertretbarer Art und Weise gesichert werden. Das kann ich - im Moment - leider nicht. Gehen solche Massenveröffentlichungen aber weiter, dann wird sich das hoffentlich auch bald ändern. Vielleicht sollte man als Nutzer einfach einmal nachfragen, wie Seite A oder Forum B die Passwörter schützt und bei dem ein oder anderen Dienst, den man sowieso nicht mehr nutzt, mit der Begründung "bei euch ist mir mein Passwort nicht sicher genug" kündigen. (Man sollte nicht vergessen: Wenn meist junge, Aufmerksamkeit-suchende "Hacker" an die Daten kommen, dann ist das für echte Kriminelle sicher auch kein Problem.)
4. Logik
satissa 19.07.2011
Zitat von StraiDas obige Zitat hört man doch immer von Politikern, die selbst kaum Ahnung vom Internet haben. Wohlan, meine Damen und Herren, hier bietet sich eine Bühne für Sie: Wie wäre es denn mit einem Gesetzt, dass das Speichern von Passwörtern im Klartext verbietet? Oder zumindest die Unternehmen zwingt, offenzulegen, wie Passwörter gespeichert werden? Es kann doch wohl nicht sein, dass ein Unternehmen sensible Daten einfach so verliert und nicht zur Rechenschaft gezogen wird? Das Internet darf doch wohl kein rechtsfreier Raum sein?!
Ich verstehe den ersten Absatz Ihres Beitrages nicht. Zum zweiten lässt sich sagen, dass die Daten nicht 'verloren' sondern gestohlen wurden. Gemäß Ihrer Logik müsste dann auch eine Bank dafür bestraft werden wenn sie überfallen wird.
5. Korrektur
klmr 19.07.2011
---Zitat--- Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Web-Dienste wie Wordpress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. ---Zitatende--- Das stimmt so nicht. Verschlüsselungen sind prinzipiell auch knackbar. Passwörter zu verschlüsseln nützt daher quasi gar nichts, wenn man eh davon ausgehen kann, dass die Sicherheit der Seite geknackt worden ist. Stattdessen ist Stand der Technik, Passwörter gar nicht zu speichern sondern zu hashen, d.h. mit einer sogenannten Einwegfunktion in eine Form zu bringen, die zwar noch verwendet werden kann, um die Passwortabfrage beim Einloggen vorzunehmen, aber (wenn korrekt umgesetzt) prinzipiell das Passwort nicht wiederhergestellt werden kann. Nur so kann sichergestellt werden, dass geklaute Login-Daten einer Webseite nicht zum Missbrauch auf anderen Webseiten führen.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Fotostrecke
Begriffsfindung: Wer sind eigentlich Hacker?

Steven Levys Hacker-Ethik
1. Zugang zu Computern - und sonst allem, was einem etwas über das Funktionieren der Welt beibringen könnte - sollte unbegrenzt und vollständig sein.
2. Eigenhändiger Zugang soll stets den Vorrang haben.
3. Alle Information sollte frei sein.
4. Misstraue Autorität - fördere Dezentralisierung.
5. Hacker sollten nach ihren Hacks beurteilt werden, nicht aufgrund von Scheinkriterien wie Abschlüssen, Alter, Rasse oder Position.
6. Man kann mit einem Computer Kunst und Schönheit schaffen.
7. Computer können dein Leben zum Besseren verändern.

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: