Kontenhack bei Online-Versandapotheke DocMorris (Jan. 2023)

Sicherheit (Pexels, allgemeine Nutzung)[English]Ärger für Kunden der Online-Versandapotheke DocMorris. Der Versender hatte wegen Betrugs bei Rechnungen bereits vor Tagen die Zahlungsmöglichkeiten eingeschränkt und verlangt Vorkasse. Nun wird berichtet, dass 20.000 Benutzerkonten bei DocMorris über einen Credential-Stuffing-Angriff gehackt wurden. Der Betreiber hat diese Konten gesperrt.


Anzeige

DocMorris verlangt Vorkasse

Zum 25. Januar 2023 berichtet apotheke-adhoc.de,  dass die der Online-Versandapotheke DocMorris plötzlich die Zahlungsmethoden geändert habe und Vorkasse verlange. Bisher gab es bei DocMorris zahlreiche Möglichkeiten, Bestellungen im Online-Shop zu begleichen (Paypal, Kreditkarte Mastercard oder Visa, Klarna, Paydirekt, Barzahlung oder Rechnung). Nun sind wohl nur noch Zahlungsmethoden zulässig, bei denen der Kunde in Vorkasse geht, schreibt apotheke-adhoc.de.

Hintergrund waren zahlreiche Betrugsversuche, wie ein Sprecher des Unternehmens gegenüber dem Medium bestätigte: "In den letzten Wochen kam es bei vielen Online-Shops zu vermehrten Betrugsversuchen, auch bei DocMorris. Um unsere Kunden und uns zu schützen, bieten wir derzeit vermehrt Zahlarten an, die seltener mit Betrug in Verbindung stehen. Neben der aktuell eingeschränkten Zahlung per Rechnung und Lastschrift bieten wir unseren Kunden viele andere Zahlarten für ihre Bestellungen an (Paypal, Kreditkarte, Paydirekt, Barzahlen/Viacash, Klarna mit Sofortüberweisung).

20.000 Konten per Credential-Stuffing-Attack gehackt

Nun wurde bekannt, dass es wohl einen Credential-Stuffing-Angriff auf die Online-Konten der Online-Versandapotheke DocMorris gegeben habe. Dabei probieren die Angreifer bei den Online-Konten Listen mit Zugangsnamen und Kennwörtern, die aus früheren Hacks bekannt sind und im Darknet gehandelt werden. Verwendet ein Kunde solche Zugangsdaten bei mehreren Online-Konten oder benutzt er schwache Passwörter, die in diesen Listen vorkommen, erhalten die Angreifer Zugriff auf das Konto.

https://i.imgur.com/XWXra10.png


Anzeige

Gemäß obigem Tweet ist es Angreifern gelungen, auf diese Weise 20.000 Kundenkonten bei DocMorris zu knacken. heise berichtete hier (unter Bezugnahme auf diesen Spiegel Artikel, Paywall), Aber auch bei apotheke-adhoc.de gibt es diesen Bericht zum Credential-Stuffing-Angriff auf DocMorris. Laut DocMorris seien die betroffenen Kunden gemäß Art. 34 Datenschutzgrundverordnung (DSGVO) informiert und die Konten gesperrt worden.

Die Tochter DocMorris der Zur Rose-Gruppe hat den betroffenen Kunden per Post neue Zugangsdaten zugestellt. Mit diesen Daten lassen sich die gesperrten Kundenkonten wieder freischalten. Im Schreiben, welches heise als Ausriss zeigt, heißt es: "Bitte vergeben Sie kein Passwort, das Sie bereits bei einem anderen Anbieter verwenden". Die Erklärung des Versenders: "Wie Sie vielleicht den Medien entnommen haben, sind aktuell wieder verstärkt betrügerische Aktivitäten von Hackern im Internet zu verzeichnen. Leider war auch DocMorris davon betroffen."

Ein Sprecher des Unternehmens wird von Apotheke-adhoc.de so zitiert, dass nach Kenntnisnahme des Angriffes sofort reagiert worden sei. Neben der Kontosperrung seien „weitere technische und organisatorische Maßnahmen" ergriffen worden, um die Wiederholung eines solchen Angriffs für die Zukunft nach Möglichkeit zu unterbinden.

DocMorris hat die niederländischen Behörden eingeschaltet: "Der gesamte Vorgang wurde intern dokumentiert und den zuständigen Aufsichtsbehörden gemeldet. Wir arbeiten darüber hinaus eng mit Cybersicherheits- und Datenschutzexperten sowie den Strafverfolgungsbehörden zusammen, um auf weitere Entwicklungen zu reagieren." heißt es.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Kontenhack bei Online-Versandapotheke DocMorris (Jan. 2023)

  1. Fred sagt:

    Ob das mit dem Credential-Stuffing-Angriff stimmt?
    Habe auch User-Beiträge dazu gelesen, dass auch deren Konten betroffen waren, obwohl sie per Passwortmanager automatisch generierte Passworte nutzten (aber ob das stimmt, kann ich nicht beurteilen).

    • Pert sagt:

      "Credential-Stuffing-Angriff" ist ein Euphemismus für Anwender war so blöd, sein Passwort zu verraten und der Admin war für Absicherung auf technischer Basis zu blöd.

      • Luzifer sagt:

        Also davon war ich Anfang 2000 auch schon mal betroffen, das PW war ein absolut sicheres PW 20 Zeichen Groß/Klein/Zahlen/ Sonderzeichen … ich hab es auch nicht preisgegeben! Adobe lies sich damals hacken und hatte die PW im Klartext gespeichert!

        Zu blöd gebe ich dir recht, aber hauptsächlich auf adminseite!
        Das PW geistert noch immer in den PW Sammlungen im Darknet umher obwohl das Ganze seit Jahrzehnten wertlos ist, die Hacker sind also genauso dumm.

        Ist auch immer wieder toll: haveibeenpawned spuckt da ständig ein gehackt aus mit eben jenem PW.

        ITler sind eben grundsätzlich "dumm"… oder auch "Fachidioten"

        • Anonymous sagt:

          Nana… hier kommt doch wohl nicht Dunning und Kruger zum Vorschein?

          Bin auch mal auf dem hohen Roß geritten, in Foren umtrieben, hielt mich für unfehlbar und hatte die Weisheit mit Löffeln gefressen.
          Gerade im Bereich IT, ich ein Gott… mit zusammenfabuliertem Wissen (wie der Großteil in Foren).
          Bis ich dann eine entsprechende Ausbildung begann und vieles aus einem anderen Blickwinkel wahrgenommen habe.
          Für mich sind mittlerweile die ganzen Foristen sogenannte "Wannabes", mit nicht vorhandener Expertise, deren Erfolge auf andere Faktoren beruhen, die sie beschreiben. ;-)

          Also bitte nicht pauschal über "Fachidioten" meckern. Viele von denen wissen ganz genau, was sie tun. Schwarze Schafe gibt es immer und dann ist da immer noch der Arbeit-/Auftraggeber, der letztlich vorgibt, was vorhanden sein soll.

  2. Karel sagt:

    Kann man wirklich von einem Konto"hack" bei DocMorris sprechen, wenn Kriminelle dort anderweitig erbeutete Passwörter mit Nutzernamen erfolgreich durchprobieren?
    Scheint mir dann doch eher „Schuld" der jeweiligen Nutzer, wenn sie Passwörter mehrfach verwenden oder anderweitig preisgeben.
    Da können doch nichtmal Mechanismen anschlagen, die vor Bruteforce-Angriffen auf Einzelkonten warnen, wenn es gut gemacht wird.
    Leicht OT: bietet DocMorris eine 2FA, was ja eigentlich der geforderte Stand der Technik ist?

  3. Jeremias sagt:

    Habe sofort nachgeschaut ob 2FA angeboten wird. Ist aber leider nach wie vor nicht möglich. Schade! Müsste der Anbieter seine Kunden nicht informieren? Nun gut ich scheine nicht betroffen zu sein… Auf der Homepage steht auch kein Hinweis seltsam.

  4. Luzifer sagt:

    mmh mal sehen … Hab da nen Konto, ne Meldung bekam ich keine und das Konto wurde nicht gesperrt, also wohl sicher? Naja auch nicht anders erwartet, solang deren Kundendatenbank nicht gehackt wurde und die nicht so blöd sind die PW im Klartext abzulegen. (Bei Admins weis man ja nie ;-P )

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.