Datenpanne Passwörter und Mail-Adressen von Rewe-Kunden stehen im Web

Unbekannte haben gut 52.000 Datensätze mit E-Mail-Adressen und Passwörtern veröffentlicht. Offenbar wurden sie von Websites des Einzelhändlers Rewe kopiert. Das Unternehmen bestätigt den Datenklau - die Passwörter wurden unverschlüsselt gespeichert.

Sammelkarten im Rewe-Angebot: Zehntausende Kundendaten offenbar kopiert
DPA

Sammelkarten im Rewe-Angebot: Zehntausende Kundendaten offenbar kopiert


Köln - Der Datenklau bei Rewe wird für Zehntausende Kunden zum ernsten Problem: Am Dienstag veröffentlichten Unbekannte im Web ein Textdokument mit gut 52.000 Datensätzen, die E-Mail-Adresse und zugehörige Passwörter von Verbrauchern enthalten.

Ein Rewe-Sprecher bestätigt auf Anfrage: "Eine signifikant hohe Anzahl von Daten aus unseren vom Hackerangriff betroffenen Datenbanken sind auf dieser Seite zu sehen." Laut dem Sprecher sei man noch "in der Sicherheitsüberprüfung".

Am Montag sagte ein Rewe-Sprecher laut Nachrichtenagentur dpa, es sei nicht feststellbar, ob die Daten kopiert wurden. Die Datenbanken beinhalteten keine sensiblen Angaben wie Bankverbindungen oder Kreditkartennummern. Rewe habe alle betroffenen Kunden per E-Mail über den Vorfall informiert und sie aufgefordert, ihr Passwort zu ändern, sagte der Sprecher.

Hotline-Mitarbeiterin weiß nichts von der Veröffentlichung der Daten

Das Unternehmen hatte für betroffene Kunden eine kostenlose Hotline eingerichtet (0800/20030340). Bei einem Anruf am späten Dienstagnachmittag wusste man dort nicht, dass die Datensätze im Netz veröffentlicht worden waren.

Damit steigt die Gefahr für die betroffenen Kunden, dass die Informationen missbraucht werden. Viele Nutzer verwenden dasselbe Passwort bei mehreren Internetdiensten. Da sowohl E-Mail-Adressen als auch Passwörter entwendet wurden, sollten Kunden schnellstens ihre Logins bei Diensten wie Ebay, Facebook und Google Mail ändern.

Kriminelle nutzen gekaperte Konten bei solchen Diensten für Betrügereien. So erhielten zum Beispiel Ebay-Kunden, die für teure Artikel geboten hatten, aber nicht den Zuschlag erhielten, zeitweise über das Ebay-Nachrichtensystem betrügerische Angebote, den Artikel doch noch zu kaufen. Verschickt wurden diese Nachrichten über gekaperte Ebay-Konten.

Rewes Dienstleister speicherte Passwörter unverschlüsselt

Laut Rewe hat der technische Dienstleister die Passwörter unverschlüsselt gespeichert. Ein Rewe-Sprecher sagte: "Leider mussten wir feststellen, dass die Anmeldedaten im Klartext vorlagen. Wir waren davon ausgegangen, dass die Daten in einem ausreichend gesicherten System untergebracht seien."

Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Web-Dienste wie Wordpress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. Dabei werden die Passwörter nicht nur einfach mit einem Algorithmus verschlüsselt, sondern auch um zufällige Zeichenfolgen ergänzt, damit Angreifer gängige Passwörter nicht einfach anhand von Wörterbüchern per Durchprobieren erraten können.

lis

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 78 Beiträge
Alle Kommentare öffnen
Seite 1
Conspirator 19.07.2011
1. Zertifikat?
Gibt es für IT-Sicherheit eigentlich keine Zertifikate? Damit ein Unternehmen wenigstens auf solche Grundlagen geprüft wird? Wäre mal Zeit.
Strai 19.07.2011
2. „Das Internet darf kein rechtsfreier Raum sein“
Das obige Zitat hört man doch immer von Politikern, die selbst kaum Ahnung vom Internet haben. Wohlan, meine Damen und Herren, hier bietet sich eine Bühne für Sie: Wie wäre es denn mit einem Gesetzt, dass das Speichern von Passwörtern im Klartext verbietet? Oder zumindest die Unternehmen zwingt, offenzulegen, wie Passwörter gespeichert werden? Es kann doch wohl nicht sein, dass ein Unternehmen sensible Daten einfach so verliert und nicht zur Rechenschaft gezogen wird? Das Internet darf doch wohl kein rechtsfreier Raum sein?!
Waffelbäcker 19.07.2011
3. .
Solange Passwörter immer noch unsicher gespeichert werden (oder sogar einfach als Text wie in diesem Fall), werde ich solche Hackerangriffe mit anschließender Veröffentlichung der Daten nicht verurteilen. Wenn ich so sensible Daten an ein bekanntes, "seriöses" Unternehmen schicke, muss ich in gutem Glauben davon ausgehen können, dass diese dort in vertretbarer Art und Weise gesichert werden. Das kann ich - im Moment - leider nicht. Gehen solche Massenveröffentlichungen aber weiter, dann wird sich das hoffentlich auch bald ändern. Vielleicht sollte man als Nutzer einfach einmal nachfragen, wie Seite A oder Forum B die Passwörter schützt und bei dem ein oder anderen Dienst, den man sowieso nicht mehr nutzt, mit der Begründung "bei euch ist mir mein Passwort nicht sicher genug" kündigen. (Man sollte nicht vergessen: Wenn meist junge, Aufmerksamkeit-suchende "Hacker" an die Daten kommen, dann ist das für echte Kriminelle sicher auch kein Problem.)
satissa 19.07.2011
4. Logik
Zitat von StraiDas obige Zitat hört man doch immer von Politikern, die selbst kaum Ahnung vom Internet haben. Wohlan, meine Damen und Herren, hier bietet sich eine Bühne für Sie: Wie wäre es denn mit einem Gesetzt, dass das Speichern von Passwörtern im Klartext verbietet? Oder zumindest die Unternehmen zwingt, offenzulegen, wie Passwörter gespeichert werden? Es kann doch wohl nicht sein, dass ein Unternehmen sensible Daten einfach so verliert und nicht zur Rechenschaft gezogen wird? Das Internet darf doch wohl kein rechtsfreier Raum sein?!
Ich verstehe den ersten Absatz Ihres Beitrages nicht. Zum zweiten lässt sich sagen, dass die Daten nicht 'verloren' sondern gestohlen wurden. Gemäß Ihrer Logik müsste dann auch eine Bank dafür bestraft werden wenn sie überfallen wird.
klmr 19.07.2011
5. Korrektur
---Zitat--- Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Web-Dienste wie Wordpress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. ---Zitatende--- Das stimmt so nicht. Verschlüsselungen sind prinzipiell auch knackbar. Passwörter zu verschlüsseln nützt daher quasi gar nichts, wenn man eh davon ausgehen kann, dass die Sicherheit der Seite geknackt worden ist. Stattdessen ist Stand der Technik, Passwörter gar nicht zu speichern sondern zu hashen, d.h. mit einer sogenannten Einwegfunktion in eine Form zu bringen, die zwar noch verwendet werden kann, um die Passwortabfrage beim Einloggen vorzunehmen, aber (wenn korrekt umgesetzt) prinzipiell das Passwort nicht wiederhergestellt werden kann. Nur so kann sichergestellt werden, dass geklaute Login-Daten einer Webseite nicht zum Missbrauch auf anderen Webseiten führen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.