[English]Keine schöne Nachricht, die mich vor einigen Stunden über einen Blog-Leser erreichte (danke dafür). Die Firma BB Services GmbH, hat zum 21. Dezember 2023 seine Kunden informiert, dass man Opfer eines Cyberangriffs wurde. Die GmbH ist unter dem Namen BlueBrixx als Hersteller und Händler von Klemmbausteinsets – als Alternative zu Lego-Bausteinen – bekannt. Betroffen kann bei den Kundendaten alles sein, vom Namen über bestellte Artikel bis hin zum Passwort. Lediglich Zahlungsinformationen sollen nicht betroffen sein, da diese bei einem externen Dienstleister liegen.
Anzeige
Als die Mail von Frank bei mir eintraf, dachte ich gleich an BrickLink, ein beliebter Online-Marktplatz für Lego-Steine, der im November 2023 einen Cyberangriff bekannt gab (siehe Lego-Marktplatz BrickLink down – Opfer eines Hacks). Aber BlueBrixx bzw. die dahinter stehende BB Services GmbH ist etwas anderes. Da die Webseiten der Firma aktuell nicht erreichbar sind, habe ich etwas im Internet recherchiert. Nachfolgende (alte) Webseite konnte ich zufällig unter bluebrixx.com abrufen – wenige Minuten später lief die Abfrage wieder auf einen Cloudflare-Timeout.
Dort erfährt man, dass der im hessischen Flörsheim am Main sitzende Anbieter sich mit einem anderen Hersteller zusammen getan hat. Golem hat im Sommer 2022 diesen Artikel über das Unternehmen, welches Noppensteinsets (Klemmbausteine) vertreibt, veröffentlicht. Auf dem Blog stonewars.de gibt es einen Artikel zur Causa-BlueBrixx, wo es um juristische Scharmützel und einstweilige Verfügungen geht. Auf northdata.de finden sich die Details zur Firmenkonstruktion seit dem Jahr 2018.
Informationen zum Cyberangriff
Frank hat mir per Mail die Informationen zukommen lassen, die die BB Services GmbH ihren Kunden ebenfalls über deren Medium zukommen ließ (die Webseiten helfen ja nicht weiter). Der Mail zufolge hat das Unternehmen vor kurzem Unregelmäßigkeiten in seinem IT-System festgestellt, die sich als Cyberangriff herausstellten. Das Unternehmen geht davon aus, dass bei diesem Angriff auch Kundendaten abgegriffen wurden. Der Händler informiert Kunden, dass möglicherweise folgende Kundendaten betroffen sein könnten:
Anzeige
- Name,
- E-Mail-Adresse,
- Rechnungs- und Lieferanschrift,
- Bestellte Artikel,
- Passwort in verschlüsseltem Format.
Kreditkarteninformationen, Bankverbindungen und Paypalkontoinformationen sind davon ausgenommen, da diese von unserem Unternehmen nicht gespeichert und die Zahlungsabwicklung hierfür durch anerkannte, externe Dienstleister vollzogen wird. Das Unternehmen empfiehlt als Vorsichtsmaßnahme Nutzern ihr Passwort für den Online-Shop BlueBrixx.com zu ändern. Dies könne man leicht durchführen, indem man sich im Konto anmeldet und unter "Mein Konto > Meine Daten" das Passwort aktualisiert. Die Anweisung zur "leichten Vorgehensweise" hat aktuell allerdings den Haken, dass die Webseite (zumindest als ich es versucht habe) schlicht nicht erreichbar ist. Nachfolgend findet sich noch die Original-Nachricht an deutschsprachige Kunden.
Sehr geehrte Kundin, sehr geehrter Kunde,
ich möchte Sie heute über ein Ereignis informieren, das für uns alle bei der BB Services GmbH von großer Bedeutung ist. Vor kurzem wurden wir auf Unregelmäßigkeiten in unserem IT-System aufmerksam, die sich als Folge eines Cyberangriffs herausstellten. Wir haben umgehend die zuständigen Behörden (d.h. die Polizei und den hessischen Landesbeauftragten für Datenschutz und Informationsfreiheit) eingeschaltet. Parallel dazu arbeiten wir eng mit unserem externen Datenschutzbeauftragten zusammen.
Trotz unserer Bemühungen um Datensicherheit müssen wir Ihnen leider mitteilen, dass bei diesem Angriff einige Kundendaten möglicherweise betroffen waren. Wir möchten Sie deshalb darüber informieren, dass wir nicht ausschließen können, dass auch Ihre Daten davon betroffen sein könnten.
Zu den potenziell betroffenen Informationen gehören:
- Name,
- E-Mail-Adresse,
- Rechnungs- und Lieferanschrift,
- Bestellte Artikel,
- Passwort in verschlüsstem Format.
Kreditkarteninformationen, Bankverbindungen und Paypalkontoinformationen sind davon ausgenommen, da diese von unserem Unternehmen nicht gespeichert und die Zahlungsabwicklung hierfür durch anerkannte, externe Dienstleister vollzogen wird.
Wir nehmen die Sicherheit Ihrer Daten sehr ernst und empfehlen Ihnen als Vorsichtsmaßnahme, Ihr Passwort für unseren Online-Shop BlueBrixx.com zu ändern. Dies können Sie leicht durchführen, indem Sie sich in Ihrem Konto anmelden und unter "Mein Konto > Meine Daten" Ihr Passwort aktualisieren.
In Reaktion auf diesen Vorfall verstärken wir unsere Sicherheitsmaßnahmen, um zukünftige Risiken zu minimieren. Der betroffene Server wurde sofort abgesichert und die Schwachstellen behoben. Wir sind entschlossen, alles in unserer Macht Stehende zu tun, um die Sicherheit Ihrer Daten zu gewährleisten.
Wir gehen sehr sensibel mit Ihren Daten um. Gleichwohl hat der Cyberangriff gezeigt, dass es absolute Sicherheit nicht gibt.
Für jegliche Fragen oder Anliegen steht Ihnen unser Kundendienst per E-Mail unter infomail@bluebrixx.com oder telefonisch unter +49 (0)6145 / 3501 – 100 von Montag bis Freitag zwischen 8:30 und 16:45 Uhr zur Verfügung.
Mit freundlichen Grüßen,
Ihr Andreas Becker
Geschäftsführer, BB Services GmbH
Anzeige
Die machen Klemmbausteine und natürlich keine Lego-Bausteine!
"Lego"-Klemmbausteine werden nur von Lego gemacht!
Und Lego hat eine extra Juristen-Firma die nur gegen solche Verstöße vorgeht.
Richtig – wer nicht in Grund-und Boden von der Firma Lego geklagt werden will, sollte auf das Wording achten: Klemmbausteine. Der Begriff ist NOCH rechtssicher wie ggf auch 'Noppen'. Aber wer weiß das schon, bis der Brief vom Anwalt kommt.
Hallo,
witzig finde ich, dass Bluebrixx durch die Information aller Kunden gleichzeitig, gestern Abend für eine selbstgemachte DDOS Attacke gesorgt hat.
Der Server war für die Passwortänderung mehrere Stunden nicht erreichbar.^^
Aber gut finde ich, dass sie nicht gleich alles leugnen, sondern "möglicherweise" Datenabgriffe eingestehen.
Das ist eine rechtliche Vorgabe, die Mail war das Minimum an Eingeständnis was laut DSGVO zu erbringen ist.
Lies das Schreiben nochmal, steht da irgendwo drin, dass es ihnen leid tut?
"Der betroffene Server wurde sofort abgesichert und die Schwachstellen behoben."
Wenn das so schnell und einfach geht, warum wurde dann nicht bereits im Vorfeld gehandelt? Das deutet für mich eher auf Fahrlässigkeit hin, da Server und Appliances nicht aktuell gehalten wurden.
Aber hey, es geht ja nur um die Kundendaten, zum Glück sind die Finanzdaten safe …
Eigentlich müsste es doch dafür einen Fonds geben, wo betroffene Unternehmen einzahlen müssen um diejenigen zu entschädigen, die letztlich betroffen sind, weil mit den erbeuteten Daten Schindluder getrieben wurde.