Datenpanne Passwörter und Mail-Adressen von Rewe-Kunden stehen im Web

Unbekannte haben gut 52.000 Datensätze mit E-Mail-Adressen und Passwörtern veröffentlicht. Offenbar wurden sie von Websites des Einzelhändlers Rewe kopiert. Das Unternehmen bestätigt den Datenklau - die Passwörter wurden unverschlüsselt gespeichert.
Sammelkarten im Rewe-Angebot: Zehntausende Kundendaten offenbar kopiert

Sammelkarten im Rewe-Angebot: Zehntausende Kundendaten offenbar kopiert

Foto: Rolf Vennenbernd/ dpa

Köln - Der Datenklau bei Rewe wird für Zehntausende Kunden zum ernsten Problem: Am Dienstag veröffentlichten Unbekannte im Web ein Textdokument mit gut 52.000 Datensätzen, die E-Mail-Adresse und zugehörige Passwörter von Verbrauchern enthalten.

Ein Rewe-Sprecher bestätigt auf Anfrage: "Eine signifikant hohe Anzahl von Daten aus unseren vom Hackerangriff betroffenen Datenbanken sind auf dieser Seite zu sehen." Laut dem Sprecher sei man noch "in der Sicherheitsüberprüfung".

Am Montag sagte ein Rewe-Sprecher laut Nachrichtenagentur dpa, es sei nicht feststellbar, ob die Daten kopiert wurden. Die Datenbanken beinhalteten keine sensiblen Angaben wie Bankverbindungen oder Kreditkartennummern. Rewe habe alle betroffenen Kunden per E-Mail über den Vorfall informiert und sie aufgefordert, ihr Passwort zu ändern, sagte der Sprecher.

Hotline-Mitarbeiterin weiß nichts von der Veröffentlichung der Daten

Das Unternehmen hatte für betroffene Kunden eine kostenlose Hotline eingerichtet (0800/20030340). Bei einem Anruf am späten Dienstagnachmittag wusste man dort nicht, dass die Datensätze im Netz veröffentlicht worden waren.

Damit steigt die Gefahr für die betroffenen Kunden, dass die Informationen missbraucht werden. Viele Nutzer verwenden dasselbe Passwort bei mehreren Internetdiensten. Da sowohl E-Mail-Adressen als auch Passwörter entwendet wurden, sollten Kunden schnellstens ihre Logins bei Diensten wie Ebay, Facebook und Google Mail ändern.

Kriminelle nutzen gekaperte Konten bei solchen Diensten für Betrügereien. So erhielten zum Beispiel Ebay-Kunden, die für teure Artikel geboten hatten, aber nicht den Zuschlag erhielten, zeitweise über das Ebay-Nachrichtensystem betrügerische Angebote, den Artikel doch noch zu kaufen. Verschickt wurden diese Nachrichten über gekaperte Ebay-Konten.

Rewes Dienstleister speicherte Passwörter unverschlüsselt

Laut Rewe hat der technische Dienstleister die Passwörter unverschlüsselt gespeichert. Ein Rewe-Sprecher sagte: "Leider mussten wir feststellen, dass die Anmeldedaten im Klartext vorlagen. Wir waren davon ausgegangen, dass die Daten in einem ausreichend gesicherten System untergebracht seien."

Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Web-Dienste wie Wordpress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. Dabei werden die Passwörter nicht nur einfach mit einem Algorithmus verschlüsselt, sondern auch um zufällige Zeichenfolgen ergänzt, damit Angreifer gängige Passwörter nicht einfach anhand von Wörterbüchern per Durchprobieren erraten können.

lis
Die Wiedergabe wurde unterbrochen.