Ich stelle mal eine Information, die mich über einen Blog-Leser erreicht hat, hier im Blog ein. Es gibt den Verdacht, dass es einen Datenschutzvorfall bei der Maingau Energie (Strom und Gas) gegeben hat, bei dem zumindest E-Mail-Adressen abgegriffen wurden. Ein Datenschutzvorfall beim Vergleichsportal Verivox, der auch mit Maingau Energie zusammen arbeitet, ist bereits bestätigt. Vielleicht gibt es ja noch mehr Kunden von Maingau Energie, die nun Opfer von Spam werden.
Anzeige
Eine Lesermeldung
Es ist aktuell nur ein vager Verdacht, dass es beim Unternehmen Maingau Energie (der Anbieter ist ein Komunalkonsortium, das Strom und Gas anbietet) möglicherweise zum Abfluss von Daten gekommen ist. Blog-Leser Dat Bundesferkel hat sich gerade mit folgendem Text im Diskussionsbereich gemeldet – ich ziehe den Text mal hier im Beitrag heraus, da ich die Einträge im Diskussionsbereich zyklisch lösche.
Mal kurz als Verdachtshäppchen:
Anscheinend hat man bei Maingau Energie und/oder verivox Daten abgegriffen.
Grund für den Verdacht? Seit 2 Tagen erhalte ich auf den Mailserver SPAM an eine Mail-Adresse, die nur dort zum Einsatz kommt (Zufallsgeneriert, 16 Zeichen, Kleinbuchstaben) und somit keinem Wörterbuch entstammt.
Natürlich haben diese Seiten noch keinerlei Infos veröffentlicht. Wahrscheinlich nicht einmal selber mitbekommen.
Ich bin selbst Kunde bei diesem Anbieter, weil ich im Mai 2023 den Gasbezug wegen Anbieterkündigung wechseln musste und kurz danach den Strombezug wegen Preissteigerungen gewechselt habe. In beiden Fällen kam das Preisvergleichsportal verivox beim Anbieterwechsel zum Einsatz. Bisher habe ich aber noch keinerlei SPAM- oder Phishing-Mails bekommen. Aber die Wechselaufträge über verivox sind schon einige Monate her.
Datenabfluss bei Verivox
Beim Preisvergleichsportal Verivox gab es allerdings vor einigen Wochen einen Datenschutzvorfall, bei dem Kundendaten erbeutet wurden. Das Vergleichsportal Verivox ist ebenfalls Opfer der MOVEit-Schwachstelle geworden und die Clop-Ransomware-Gruppe hat wohl Daten abgezogen. Ich hatte das Thema im Blog-Beitrag Cyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorfälle (19. Juni 2023) aufgegriffen. Unter Betrachtung der MOVEit-Konstellation dürfte dieser Datenabfluss aber nur verivox-Kunden betroffen haben, deren Daten im Mai 2023 auf dem verivox MOVEit-Cloud-Konto gespeichert waren.
Anzeige
Weitere Informationen zum obigen Fall
Blog-Leser Dat Bundesferkel hat noch einige zusätzliche Informationen zu den eintreffenden SPAM-Mails in seinem Kommentar mitgeliefert und schreibt dazu:
Die angeblichen Absender sind Lidl (karlotta[at]golfappnow.com | amanda[at]getgolfapp.com), Amazon Deutschland (zemirah[at]golfapponline.com | amanda[at]getgolfapp.com) und Kaufland.de (zemirah[at]golfapponline.com | amanda[at]getgolfapp.com) – ziemlich primitiver Spam, abseits der Mail-Adressen wohl keine weiteren Informationen erhalten.
Interessant jedoch ist der Quelltext, welche Pfade die Mail genommen hat:
email.amazonses.com
541135708.xt.local
sendgrid.net
yahoo.com
comcast.net
email.cloudflare.net
a11-147.smtp-out.amazonses.com
gmail.com
mx.google.com
i-f.email.cloudflare.net
bring.2.hola.5.rogfer.getgolfapp.comTLS wird munter von 1.2 auf 1.3 gewechselt, IP-Adresse in letzter Instanz dynamisch
Naja, vielleicht bekommst Du da ja mal ein paar Infos.
Aktuell liegen mir noch keine weiteren Informationen zu einem Cybervorfall vor. Die individuell generierte E-Mail-Adresse des Betroffenen legt nahe, dass diese E-Mail-Adresse irgendwo im Verbund "verivox – Maingau Energie" abgeflossen sein könnte. Da der verivox-Datenabfluss bestätigt ist, könnte das Ganze aus dieser Ecke losgetreten worden sein. Aktuell ist das alles aber nur ein "Verdachtsfall" – und der Beitrag sollte als Honeypot dienen, wo weitere Betroffene sich eventuell per Kommentar melden können.
Anzeige
Verivox bin ich zwar auch registriert, scheine von dem Datenschutzvorfall aber scheinbar nicht betroffen zu sein, da ich keinerlei derartigen SPAM erhalte.
Mal in den FilterLogs geschaut (da meine SPAM Filter da sehr erfolgreich sind ;-P), da ist etliches drin aber nichts nach dem obigen Muster.
Maingau Energie kann ich nichts zu sagen, da ich aus ner ganz anderen Ecke komme da kein Kunde bin.
Es wäre beruhigend zu wissen, dass das Verivox Problem, wirklich nur den Mai 23 betreffen würde. Ich habe im Jahr 21 einen Vertrag via Verivox zu einem Versorger abgeschlossen.
Ich habe schon zweimal von, meinem rechtlichem Auskunftsrecht, per Mail angefragt, ob ich betroffen bin.
Natürlich habe ich nur eine Standardantwort Mail bekommen.
Wir kümmern uns,…..etc.
Danke für die Info. Wir haben auch schon viele Jahre einen Account bei verivox (Strom/Erdgas). Ebenso sind wir seit 3 Jahren Erdgas Kunde bei Maingau Energie, dort auch mit einem Kundenkonto.
Was jetzt Maingau betrifft, hatten wir 2020 dorthin gewechselt (Erdgas) und haben den Vertrag immer wieder verlängert. Unabhängig von verivox.
Das jetzt mehr Spam, als wie sonst einfliegt, ist mir nicht aufgefallen. Da greift der Filter. Gut, die dort hinterlegte Email Adresse ist auch noch wo anders bekannt. Aber wie in dem o.a. Artikel geschildert, das es nur eine bestimmte Adresse ist und daher nachvollziehbar ist, ist schon sehr verdächtig.
Das wäre natürlich ein dickes Ding, wenn dem so wäre.
was ist daran "ein dickes Ding"? Wenn Daten abgezogen werden ist das normal
Verivox hatte nen Leak, das dann die Email Addys im Umlauf sind ist typisch nach nem Leak.
Wobei das wie gesagt ziemlich beschränkt sein muss bin auch Verivx Kunde und habe kein erhöhtes Spamaufkommen… scheinen also nur nen Bruchteil der Daten erbeutet zu haben oder eben doch auch nen Leak bei Maingau Energie…
dann wäre es aber höchstens unverschämt wenn die ihre Kunden nicht unterrichten, vorrausgesetzt sie haben es überhaupt schon bemerkt!
Nun ja, bei einem systemweiten Leak müssten es auch Kunden von anderen Anbieten treffen. Nicht nur bei Maingau.
Das ist sehr unschön zu hören. Besonders, da Maingau der einzig verbliebene deutsche Anbieter einer Ladekarte ist, welche frei für jeden verfügbar ist.
Alle anderen Ladekarten gibt es exklusiv nur für "Kunden" von Google oder Apple (also Vertragsabschluss ausschließlich per proprietärer App aus den geschlossenen App-Stores). Insofern ist Maingau beim Datenschutz vorbildlich, da keine DSGVO-widrige Koppelung des Vertrags an eine unfreiwillige Datenweitergabe erfolgt.
Noch habe ich aber kein erhöhtes Spamaufkommen bemerkt, könnte es aber dann wegen verschiedener genutzter Adressen genau zuordnen, bei wem das Leck ist.
Ich bin sowohl privat als auch gewerblich Maingau-Energie-Kunde und habe dort Alt-Verträge als auch jüngst vor drei Monaten abgeschlossene. Aber: direkt via maingau-energie.de (also ohne Verivox). Ebenfalls eindeutige Single-Use-Adressen, bisher aber kein Spam oder Versuche in den Logs.
Dies wäre ein Indiz, dass Verivox das Problem ist – oder der Spammer hat sich noch nicht bis zu uns in der Liste vorgekämpft. Dennoch mal als zusätzlicher Datenpunkt vielleicht interessant.
Auch ich kann bestätigen, dass verivox die Schwachstelle ist. Ich bin nicht bei Maingau, erhalte aber auch den verivox Spam.
Danke für die Ergänzung.
Ich hänge hier mal einen Kommentar von Dat Bundesferkel aus dem Diskussionsbereich um, weil ich dort den Thread lösche.
Tja, und wieder ein bedauerlich Vorfall, der sich einreiht in eine schier endlose Datenschutzpannenserie, bei allerlei verschiedenen Firmen, Portalen usw…
Selbst wenn nur jeder 4te oder 5te betroffen wäre, jede einzelne Person wäre zuviel.
Auch ein Grund, warum ich bei keinerlei Portalen mich anmelde / registriere.
Ich bin froh, daß ich aus einer Zeit stamme (aufgewachsen bin), in der es kein Internet gab, ich somit die Erfahrung habe, daß diese ganzen anmeldepflichtigen oder anmeldefreiwilligen Dienste nicht notwendig sind.
Ich staune, staune, staune…..
Tja, wenn ich auf die Branchen-Interna blicke, wird das mit dem Thema "anmelden" nicht besser, sondern schlechter.
Ich habe mir vor 2018 sehr viele Gedanken um das Thema Registrierung und Anmeldung hier im Blog gemacht. Bereits vom Start an habe ich aus Sicherheitsgründen darauf verzichtet (selbst für eine Kommentierung in den Blogs) eine Registrierung/Anmeldung zuzulassen oder gar zu fordern. Die SPAM-Abwehr/-Filterung in den Kommentaren ist zwar ein eigener Ritt – aber inzwischen ganz gut geregelt.
Als die DSGVO in Kraft trat, war ich ganz froh, keine Newsletter, Kommentar-Registrierungen, Abo-Modelle für Paywalls etc. implementiert gehabt zu haben. Und ich habe (nach dem Datenschutzvorfall bei Disqus) drei Kreuze gemacht, diese Plattform nicht zur Kommentierung in den Blogs eingebunden zu haben (hatte da einige Monate mit geliebäugelt, das aber wegen potentieller Folgen / Abhängigkeiten und im Hinblick auf die Risiken für die Leserschaft immer zurückgestellt – und kurz vor DSGVO-Inkrafttreten verworfen).
Und seit ca. 2021 kämpfe ich mit meinen Werbevermarktern, die wegen der Cookie-Thematik, die Ende 2024 durch Änderungen am Chrome-Browser akut wird, Registrierungsmodelle mit Paywall oder zur Nutzerkategorisierung vorschlagen, was ich aber ablehne.
Ich will im Grunde nichts über meine Besucher wissen, so dass bei einem Hack auch nichts entwendet werden kann (max. eine E-Mail-Adresse, die jemand in den Kommentaren angibt, was aber nicht erforderlich ist).
Hat (auch monetäre) Nachteile für mich als Publisher und auch für die Leserschaft (Komfort wie Benachrichtigungen bei Antworten existiert nicht), ist aber im Sinne der Datenhygiene der bessere Ansatz.
Und wenn das Thema Cookie-Tracking durch die notwendigerweise zur Finanzierung einzubindenden Werbenetzwerke entfallen kann, sind wir noch ein gutes Stück weiter.
Ich werbe seit Jahren bei den Werbepartnern dafür, doch die kontextbezogenen Informationen, die sich durch die Blog-Themen wunderbar, aber Datenschutz-neutral, auf die Besucher mappen lässt, für programmatische Werbung zu nutzen. Ein Besucher oder eine Besucherin im IT-Blog wird sich bezüglich Werbung eher nicht für Baby-Windeln, Gartenhäuser, Damenhygiene etc. interessieren – möglicherweise aber Anzeigen aus dem IT-Bereich, die zu den Interessen passen. Das sehe ich bei den seltenen sponsored Posts, die deutlich als Werbung gekennzeichnet sind, aber oft beachtliche Abrufzahlen erreichen. Bisher war ich da aber "einsamer Rufer in der Wüste" – könnte sich aber in den kommenden Monaten ändern (hoffe ich zumindest).
Ich grüße Sie, lieber Günter.
Sehr kluge Gedanken und Umsetzungen!
Mir ist einst auch die Lust vergangen, als die ganze Umsetzung um DSGVO und allem was an "journalistischen" Inhalten in Deutschland so umgesetzt werden sollte und auch teilweise wurde.
Einst betrieb ich ein eigenes großes Forum, daß ich 2005 startete.
Als dann die ganzen Debatten um Impressum, DSGVO, Pflichten und Verpflichtungen losgingen, velor ich ganz schnell die Lust daran. Ich beendete dann das Forum, nach vielen erfolgreichen Jahren.
liebe Grüße
Ihre
Manu
Danke für die Info.
Bekomme seit Montag, 03. Juli 2023 auch Spam-Mails an zwei wie oben generierte Mail-Adressen. Die Unternehmen, mit denen ich dadrüber kommunizierte, hatte Verivox vermittelt, so dass die Mailadressen neben den beiden Unternehmen selbst nur noch Verivox digital hatte. Ich selbst hatte das bei mir nur auf eine Karteikarte geschrieben, nicht digital erfasst.
Da die Kontakte mit den Unternehmen seit fünf oder mehr Jahren beendet sind, habe ich das Glück, dass ich die Mail-Adressen nun meinem Span-Postfach zuweisen kann.
Habe am 7.7. mehrere Spams an 4 Mailadressen erhalten, die ich für Verivox eingerichtet hatte. Mit Maingau Energie hatte ich noch nie zu tun…
also zur bestätigung, wir sind sowohl maingau-kunde als auch von verivox dorthin vermittelt worden. es kann also nicht wirklich ausgeschlossen werden, dass es auch maingau betroffen hat.
ich werde die mal kontaktieren und dann natürlich die verwendete "spezial"-mailadresse löschen und eine andere einrichten.
gruss und mein mitleid an alle betroffenen, ist immer ärgerlich, in diese mühlen zu geraten
der mechaniker
ich habe erst am 9.10.2023 eine phishing / spam Mail über meine nur Maingau-Energie und Verivox bekannte Mailadresse erhalten.
Der angebliche Absender ist Lidl (marie@sparrowappnow.com)
von Verivox wurde meine spezielle Mailadresse nur einmal im Feb. 2018 verwendet.
von Maingau-Energie war der letzte Kontakt im November 2020.
Meine Zugangsdaten sind nicht mehr gültig, da ein neues Kundenportal aufgesetzt wurde (vermutlich um den 19.7.2023).
Torsten
ich habe heute auch eine "Lidl-Spam Mail" erhalten. sie ging an verivox-eswe@eigenedomain.com
ich war kein Kunde von Maingau. Lässt also auf einen Leak bei Verivox schließen.
Ich habe heute eine SPAM Mail erhalten über die E-Mail-Adresse, die nur für Verivox genutzt wird (verivox.de@meinedomain.tld). Ich bin kein Maingau Kunde.
Das ist die erste E-Mail dieser Art.
Habe auch mit Verivox verschiedene Stromanbieter gesucht/gefunden. Seit Herbst 2023 erhielt ich viele Spammails an meine folgenden Adressen:
vw-naturstrom@
gruener-funke@
fuxx@
extraenergie@
jeweils in Verbindung mit meiner eigenen Domain. Diese Spams ließen im November plötzlich nach. Ob da Verivox der Schlüssel ist oder diese Unternehmen unabhängig davon auch gehackt wurden, ist schwer nachvollziehbar.
In genau der Konstellation (Verivox-vermittelter Vertrag bei Maingau) hat mich ganz aktuell ein Datenschutzleck erwischt: Vertragsabschluss Ende Januar '24 (zwo-vier!), Vertragsbeginn 01.03.2024 – am 15.03. kam eine eMail, angegeben Subdomain xyz@mail.verivox.de, der Vertrag sei seitens Maingau abgelehnt. Hektischer Telefonabend später: Ist fake.
Aber: Das Leck (Info von Verivox oder Maingau, dass ich dort einen Vertrag abschliesse) muss NACH Januar 2024 gewesen sein- also aktuell!
Wir sind die Woche gewissermaßen aus allen Wolken gefallen. Nach einem Umzug zu Jahresanfang in eine andere Stadt, mit dem bisherigen Stromanbieter unserer Wahl Maingau Energie (mit dem wir grundsätzlich zufrieden sind) bekamen wir die Woche Post vom regionalen Netzbetreiber sowie eine Mail von Maingau bzgl. unseres Wechsels zu einem neuen Stromanbieter, mit Bitte um Ablesung des End-Zählerstands zum Monatsende. NUR: wir haben weder gekündigt noch hatten wir dies vor, noch haben wir irgendwas abgeschlossen oder Kenntnis von irgendeinem neuen Stromanbieter bei dem wir in einer Woche landen sollen …
Ich bekomme erst seit Mai 2024 diese massenhaften Spam/Phishing-Mails von angeblich Edeka, Rewe. Netto, Lidl, Kaufland, Otto, MediaMarkt, Amazon, und es scheint immer über OVH Paris zu laufen.
Die beiden Adressen desselben Kontos tauchen nicht bei haveibeenpwned auf. Eine davon wurde auch noch nie benutzt. Beim HPI taucht allerdings die benutze E-Mail-Adresse auf, was mir Sorgen bereitete, dass sie auch ins Mailkonto eingedrungen sein könnten. Als Ursache ist der Hack des Telefontreff-Forums vom Juli 2020 genannt. Ich wusste gar nicht mehr, dass ich da einen Account habe (jetzt: "hatte") und auch das Passwort wusste ich nicht mehr.
Nachdem ich inzwischen aber auch eine Erpressermail (erstmals überhaupt) erhielt (zu angeblich über Webcam aufgezeichnete "Tätigkeiten"), worin die genutzte der beiden Adressen stand, und auch ein Passwort, welches ich mal als Bios-Schutz nutzte, wurde mir dann doch anders. Eine Aufzeichnung über Webcam konnte ich allerdings ausschließen, weil ich die noch nie benutzt hatte, und selbst wenn jemand unbemerkt darauf Zugriff gehabt haben könnte, hätte er damit nichts Kompromittierendes aufzeichen können, obwohl die Kamera nicht abgedeckt ist. Damit war mir klar, dass der Erpresser nicht auf meinem Rechner gewesen sein kann und es ein Bluff ist!
Im Testgergebnis des HPI stand aber, dass bei dem Hack das Passwort betroffen gewesen sein soll, obwohl im Forum ja behauptet wurde, es wäre salted Hash genutzt worden. Wenn das zutrifft, hätten die Täter das nach fast 4 Jahren geknackt, aber dann würde das HPI das Passwort nicht als betroffen angegeben haben, oder unterliege ich da einem Irrtum?
Wie auch immer: Nachdem ich das Passwort bei haveibeenpwned eingab, erschien das dort tatsächlich als Treffer (die zugehörige E-Mail aber nicht, wie ich weiter oben ja bereits erwähnte). E-Mail und Passwort sind demnach in verschiedenen Datenbanken, wobei die mit der E-Mail bei haveibeenpwned fehlt.
Mein Fazit ist, dass ich dieses Passwort vermutlich damals für das Forum verwendete. Die zweite E-Mail-Adresse des Accounts, die ich ja noch nie nutzte, unterscheidet sich lediglich in der TLD von der anderen. Es ist also möglich, dass sie da einfach geraten haben. Und da sie da auch kein Bounce erhalten, wissen sie leider, dass diese ebenfalls existiert. Wären sie tatsächlich in den Mailaccount eingedrungen, hätten sie etliche weitere Adressen erbeutet, die ich damit nutze.
Ich habe auf dem Sever umfangreiche Regeln, welche dafür sorgen, dass im Mailclient über Monate hinweg nichts davon ankommt. Dennoch sind diese Mails extrem nervig, weil es immer häufiger wird und man eben alle paar Wochen die diversen Spamordner auf dem Server durchsehen muss, ob nicht doch etwas dabei ist, was nicht hineingehört. Das kommt zwar selten, aber alle paar Monate dann doch mal vor.