Nachdem diese Woche personalisierte Phishing-Mails mit Daten des Elektronikversenders Pollin auftauchten, gab es die Vermutung, dass der Anwender gehackt worden sein könnte. Zwischenzeitlich ist der Datendiebstahl bestätigt.
Anzeige
Pollin ist ein Elektronik-Versender, der 3. Wahl Ware und Restbestände in Deutschland verkauft. Ich habe vor Jahren das eine oder andere Kabel oder auch Akkus gekauft, bin aber wegen der teilweise schlechten Qualität von dieser Bezugsquelle abgekommen. Zwischenzeitlich hat Pollin sogar den Katalogversand an mich eingestellt – so dass ich eigentlich nicht dachte, dass der Firmenname nochmals bei mir hochgespült würde.
(Quelle: heise.de)
Falsch gedacht. Die erste Meldung zu den Phishing-Mails mit dem Betreff "Eine nicht autorisierte Zahlung über … EUR an Cyberport GmbH" kam am 28. Juli 2016 über heise.de. Nachdem mehrere heise.de-Leser über Phishing-Angriffe mit personalisierten Daten berichteten, kristallisierte sich schnell heraus, dass alle Pollin-Kunden waren. Der Verdacht auf einen Hack bei diesem Anbieter stand im Raum. Aber bereits am 16. Juli 2016 sind wohl solche Phishing-Mails versandt worden, wie man einem Screenshot auf dieser Webseite entnehmen kann.
Anzeige
Zwischenzeitlich liegt eine Bestätigung des Anbieters Pollin vor (siehe obigen Screenshot), und Leser wurden per Mail über den Hack informiert. Möglicherweise fiel dieser Hack erst bei einer Sicherheitsüberprüfung durch Pollin auf, nachdem die heise.de-Redaktion dort wegen der Phishing-Mails nachgefragt hatte. heise.de berichtet in diesem Artikel über den Fall.
Pollin fordert seine Kunden auf, Kennwörter für den Webshop zu ändern und empfiehlt, dies auch für Drittanbieter-Konten zu tun, falls dort die gleichen Anmeldedaten verwendet werden.
Welche Kunden genau betroffen sind, geht aus der Pollin-Meldung nicht hervor – auch nicht, ob die Kennwörter für den Online-Zugriff als salted hash gespeichert waren. Jedenfalls sind auch die Bankdaten einige Kunden im Umlauf. Kritisiert wird von Betroffenen auch, dass die Pollin-Mail im "Stil einer Phishing-Mail" mit Link zum Ändern des Pollin-Kundenkonten-Kennworts verschickt wurde.
Anzeige
Jo hab ich gelesen und Gleich mein Passwort geändert!
Ich kaufe da zwar nicht viel ein, aber hin und wieder gibts dort ein paar Schnäppchen Abzustauben, zuletzt hatte ich zwei Server Schränke dort gekauft billiger ging es eben einfach nicht mehr.
Ich weiß nicht wie ihr da so seht, aber ich wäre auch dafür Firmen unter Strafe zu stellen deren Sicherheit mit den Heutigen Standards des Datenschutzes nicht mehr konform sind.
Datendiebstähle werden dadurch sicherlich nicht weniger aber die Firmen müssten einfach mehr tun.
Was ich mir für Gedanken um die Sicherheit meiner Kundendatenbank gemacht habe sollten die auch mal machen.
Wie diverse Online Firmen mit der Sicherheit ihrer Kundendaten umgehen finde ich eigentlich eine Unverschämtheit!
Gibt doch die Alternative nach jeder Bestellung zu verlangen, das die Daten wieder gelöscht werden… in wie vielen Fällen muss man sich heutzutage irgendwo nur einmal anmelden um danach als Karteileiche irgendwann von einem Hack zu erfahren?
Wäre häufig gar nicht nötig und würde auch nicht passieren, wenn man denn bequem direkt eine dauerhafte Speicherung der Daten verhindern würde. Was weiß ich, löschung automatisch nach Ablauf der Garantiezeiten, oder sowas in der Art.
Aber dann kann man ja seine Werbung und Newsletter nicht mehr an Karteileichen loswerden die eh meißt im Spamordner der auch ehemaligen/ einmaligen Kunden landen. Aber man hat so halt Zahlen von möglichen Kunden mit denen man sich bei Geldgebern wichtig machen kann…
Zu Strafen gegen sowas…
Ja, im Prinzip seh ich das auch so. Aber am Ende geht dann nur wieder ein Manager mit Mondpreis Pension "in Rente", oder zum nächsten Unternehmen… Das wir diese Pappnasen alle Lebenslang mitbezahlen versteht ja irgendwie niemand von uns so wirklich, oder will es nicht wahrhaben, sonst hätten wir ja schon langsam mal die Heugabeln aus dem Keller geholt.
Wir stellen uns vor, Microsoft Cloud wirkt geknackt und das soll bestraft werden. Dann müsste Microsoft danach pleite sein. Schon Sony hätte der Playstation Hack seiner Zeit richtig weh tun müssen, weil die wirklich selten dämlich mit den Nutzerdaten umgegangen sind.
Das Ganze lässt sich kaum wirklich bestrafen, oder in Summen beziffern und wenn doch, dann siehe oben!
Ich war auch betroffen. Mir war der Zusammenhang der Bestellung bei Pollin und einer kurz darauf eingehenden Pishing-Mail recht schnell klar. Die Hacker haben vermutlich aber auch die Daten der Eingabemasken der Website abgegriffen.
Pollin hat übrigens einen Lösch-Button (sehr vorbildlich), wo man das Kundenkonto löschen kann, das habe ich dann getan. Bei einer späteren Bestellung kann man auch als Gast bestellen, zumindest erscheint das etwas sicherer. Dieser Hackerangriff zeigt deutlich auf, wie schnell Kriminelle an fremde Daten kommen und das kann jede Website betreffen, trotz toller SSL-Verschlüsselung.
Die meisten Shops fordern ein Online-Kunden-Konto, aber wehe man will da was löschen, das ist oft kompliziert bis unmöglich. Und sicher, so wie es immer beworben wird, ist es definitiv nicht.
Bei Pollin scheinen auch 3. Wahl IT-ler am Werke zu fummeln.
Wie kann man sonst auf die bekloppte Idee kommen, in eine Email, die vor Phishing warnt, einen kryptischen Link zur Passwortänderung einzubauen?
Von Einsicht oder Entschuldigung auch keine Spur.
Meine Email endete noch so:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt generelle Hinweise für mehr E-Mail- Sicherheit.
Wir möchten Ihnen unser konsequentes Engagement gegen Online-Kriminalität versichern: Über unseren Datenschutzbeauftragten wird die zuständige Aufsichtsbehörde informiert. Gegen den oder die bisher unbekannten Angreifer stellen wir Strafanzeige bei der Polizei. Unsere IT arbeitet gemeinsam mit Forensik-Experten unter Hochdruck an der weiteren Aufklärung durch die technische Analyse des Angriffs.
Wir hoffen, dass wir die für Sie wichtigsten Fragen beantworten konnten. Selbstverständlich stehen wir Ihnen auch gerne persönlich per Telefon unter 0 84 03 / 920-920* oder per Mail über datenschutz@pollin.de zur Verfügung.
Mit freundlichen Grüßen
Hmm, ich bin dort auch Kunde und habe bisher keine Mail von denen bekommen.
Solche Paypal fishingversuche hatte ich aber auch erhalten und direkt in den Junk geschissen… Allerdings waren die nicht von Pollin.
Kann diesen Vorgang mit dem Erhalt dieser gefakten Paypal-Rechnungsbelastung bestätigen und habe, da ich von Pollin keine Mail bekam, sofort Passwörter auf allen Plattformen die ich benutze obligatorisch geändert. Bei Pollin hatte ich mal vor langer Zeit einen Account eingerichtet und bin da gar nicht mehr rein gekommen – gut so erst mal. Generell stehen mir diese Vorgänge mit Paypal schon lange vor dem Hals und weigere mich dieses zu nutzen, da Gehirnlose immer wieder über Umwege an die Daten rankommen wollen und mit allen Tricks arbeiten. Ich möchte mal so einen Mistkerl in die Finger kriegen und ein bisschen mit dem spielen…