Leak bei Versandhändler, tausende Kundendaten einsehbar

Eine unbekannte Person hat eine Datei mit Details zu Kundinnen und Kunden von Venova.ch veröffentlicht. Damit sieht sich der Online-Shop aus Müstair im Kanton Graubünden mit einem möglichen Datenleck konfrontiert.

Laut dem Hacker umfasst die Datei 250'000 Accounts von registrierten Personen. Veröffentlichte Beispiele zeigen, welche Angaben offen liegen: Name, Geburtsdatum, E-Mail-Adresse. Bei weiteren Personenangaben lassen sich Wohnadresse und Telefonnummern finden. Gehasht sind Passwörter und eventuelle Zahlungsangaben.

Bei den publizierten Angaben lassen Personen trotzdem über eine User-ID und eine Bestell-ID zuordnen.

Venova begann 2010 als Elektronikhändler, hat das Angebot seither auf Garten- und Hobby-Werkzeuge, Lego-Spielzeug, Haushaltsgeräte und Weiteres erweitert. Laut Website wird mit verschiedenen Zahlungsanbietern zusammengearbeitet. Venova ist auch auf den Marktplätzen von Digitec und Galaxus präsent.

Auf Anfrage von «Inside-IT» bestätigt Venova den Datendiebstahl. «Ja, uns ist ein Datendiebstahl einer BackUp-Datei unseres Shopsystems bekannt», schreibt das Unternehmen. Wie genau die Angreifer an die Serverzugänge kamen, werde derzeit noch intern in Erfahrung gebracht. In den gestohlenen Files «sind Name, Anschrift, E-Mail-Adresse und Bestellhistorie unserer Kundinnen und Kunden enthalten», so Venova. Die Passwörter seien aber verschlüsselt und Zahlungsdaten nicht betroffen.

Nach dem Angriff seien sämtliche Zugänge geändert und vorübergehend gesperrt worden, «um weitere Sicherheitsmassnahmen umzusetzen».