Kontodaten von Kunden betroffen Spreadshirt wurde gehackt

Die Leipziger Onlineplattform für Wunsch-T-Shirts wurde gehackt. Unbekannte haben Kundendaten mitsamt Adressen erbeutet, zum Teil auch Bankverbindungen sowie kryptografisch gesicherte Passwörter.
Spreadshirt-Produktion in Leipzig

Spreadshirt-Produktion in Leipzig

Foto: Sebastian Willnow / imago images

Das Leipziger Unternehmen Spreadshirt hat in einer E-Mail an die Kundinnen und Kunden eingeräumt, dass die eigenen IT-Systeme kompromittiert wurden. Man sei »Ziel eines organisierten Cyber-Angriffs geworden«, heißt es in dem Schreiben sowie auf einer Hilfeseite des Leipziger Unternehmens . Und weiter: »Mit hoher krimineller Energie ist es Unbekannten gelungen, auf unsere Server und dort gespeicherte Daten zuzugreifen, mit der Möglichkeit, diese zu veröffentlichen.«

Spreadshirt betreibt eine Onlineplattform, auf der man T-Shirts mit Wunschmotiven und -schriftzügen selbst gestalten und bestellen kann. Darüber hinaus kann man eigene Kreationen über einen Marktplatz verkaufen. Die Kehrseite des Ansatzes: Unter anderem wurde auch Kleidung mit QAnon-Motiven vertrieben, seit Mai 2020 sind derartige Inhalte auf der Plattform verboten. Ebenfalls im Mai 2020 wurden auf der Plattform verschiedene Produkte mit Designs angeboten, die an einen Judenstern erinnerten. Sie waren mit der Aufschrift »Nicht geimpft« versehen.

Wie viele Kunden, Partner, Mitarbeiter und externen Dienstleister vom Hack betroffen sind, geht aus der E-Mail nicht hervor. Darin heißt es aber, die Täter hätten auf Adressdaten sowie vor 2014 gespeicherte Passwort-Hashes zugegriffen.

Bei einem gehashten Passwort handelt es sich nicht um das Passwort im Klartext, sondern um eine Version, die mit einer kryptografischen Einwegfunktion in eine andere Zeichenkette umgewandelt wurde und die im besten Fall keine Rückschlüsse auf das eigentliche Passwort ermöglicht. Bei der Anmeldung etwa in einem Onlineshop wird das eingegebene Passwort gehasht und mit dem beim Betreiber gespeicherten Hash verglichen – sind die Hashes gleich, stimmen das eingegebene und das beim Betreiber hinterlegte Passwort überein.

Nutzerinnen und Nutzer sollen ihr Passwort ändern

Außerdem sind von dem Hackerangriff laut Spreadshirt die Kontoinformationen jener Kundinnen und Kunden betroffen, »die per Banküberweisung gezahlt oder hierüber eine Erstattung erhalten haben«. Auch PayPal-Adressen hätten die Täter erbeutet.

Das Unternehmen empfiehlt alle Nutzerinnen und Nutzer, »vorsichtshalber« ihr Passwort zu ändern. Man arbeite eng mit externen Spezialisten zusammen, »um sicherzustellen, dass sich ein solcher Vorfall nicht wiederholen kann«. Die Ermittlungsbehörden seien ebenfalls eingeschaltet.

Auf der Homepage sowie im Twitteraccount von Spreadshirt finden sich bisher keine Informationen zu dem Vorfall. Der Geschäftsbetrieb sei von dem Vorfall nicht betroffen »und alle Systeme laufen wie gewohnt«, steht auf der Hilfeseite.

pbe
Die Wiedergabe wurde unterbrochen.