Unschöne Geschichte, auf die mich gleich zwei Leser aufmerksam gemacht haben (danke dafür). Das zu Vorwerk gehörende Online-Forum rezeptwelt.de informiert seine Nutzer über einen Sicherheitsvorfall, den es bei einem externen Dienstleister gab, und bei dem wohl die Nutzerdaten betroffen sind. Ergänzung: Es sind wohl 1 Million deutsche Benutzer betroffen, und die Daten werden in einem Untergrundforum angeboten.
Anzeige
Wer ist rezeptwelt.de?
Auf der Webseite rezeptwelt.de können Besitzerinnen und Besitzer eines Thermomix von Vorwerk Rezepte für dieses Produkt finden.
Betrieben wird die Seite, die auch eine Anmeldung mit Zugang zu einem Forum anbietet, vom Geschäftsbereich Thermomix von der Vorwerk Deutschland Stiftung & Co. KG in Wuppertal. Pro Monat tummeln sich dort über 1,3 Millionen Nutzer.
Sicherheitsvorfall bei rezeptwelt.de
Benutzerinnen und Benutzer von rezeptwelt.de, die auf der Webseite mit Namen und Zugangsdaten angemeldet sind, werden momentan vom Betreiber über einen Datenschutz- und Sicherheitsvorfall bei der Plattform informiert. Weiterhin findet sich die Information Datenschutzvorfall im Online-Forum Rezeptwelt.de in im News-Bereich der Seite.
Anzeige
Der Betreiber gesteht mit einer Entschuldigung einen Datenschutzvorfall in seinem Forum ein. Es wurde festgestellt, dass es zu einem unerlaubten Zugriff auf einen nachgeordneten Server eines externen Dienstleisters gekommen ist. Dritte haben dabei im Zeitraum vom 30.01. bis 03.02.2025 unbefugt auf bestimmte Benutzerprofildaten zugreifen können. Nach einer sofortigen Überprüfung in enger Zusammenarbeit mit unserem Dienstleister und internen Sicherheits- und Datenschutzexperten können wir dir folgende Informationen weitergeben:
- Das Datenleck ist nur im Online-Forum Rezeptwelt.de aufgetreten.
- Keine anderen Plattformen oder andere Vorwerk Dienste wie Thermomix®, Cookidoo® oder die Vorwerk-Webshops waren betroffen.
- Die vorübergehende Sicherheitslücke auf der Rezeptwelt.de wurde behoben.
- Es wurde nicht auf interne Systeme von Vorwerk zugegriffen.
Der Anbieter gibt an, dass er die Informationssicherheit sehr ernst nehme und sofort gehandelt habe. Das Problem sei in Zusammenarbeit mit einem Dienstleister sofort gelöst, und die Sicherheitslücke inzwischen geschlossen wurde. Der betroffene nachgeordnete Server wurde offline genommen und außer Betrieb gesetzt.
Welche Daten sind möglicherweise abgeflossen?
Dazu schreibt der Betreiber, dass, je nachdem, welche Daten jemand in seinem Profil ausgefüllt hat, sind folgende Datenfelder von dem Datenleck betroffen seien:
- vollständiger Name
- Adresse
- Geburtstag
- Telefonnummer
- E-Mail-Adresse
- Daten, die jemand über deine Koch- und Thermomix®-Vorlieben eingegeben hast
Der Anbieter beruhigt, dass keine Benutzerkennwörter und keine sensiblen Daten, wie etwa Zahlungsinformationen, der angemeldeten Benutzerinnen oder Benutzer betroffen seien.
Der Forenbetreiber warnt Nutzerinnen und Nutzer des Forums, dass Betroffene möglicherweise unerwünschte E-Mails (Spam, Phishing-Versuche usw.) erhalten. Darüber hinaus könnten Daten auch von Dritten für Werbe- oder Marketingzwecke missbraucht werden. Generell empfiehlt der Betreiber:
- nicht auf ungewöhnliche sowie unbekannte Mitteilungen (E-Mails, Textnachrichten) zu reagieren, da es sich um einen Phishing-Versuch handeln könnte,
- nicht auf Links oder Anhänge von unbekannten oder verdächtigen Absendern zu klicken.
Bei Bedenken können Betroffene sich an den Datenschutzbeauftragten des Betreibers unter https://www.rezeptwelt.de/cms/datenschutz wenden. Man arbeite eng mit den zuständigen Behörden zusammen, um sicherzustellen, dass alle erforderlichen Schritte unternommen werden, heißt es weiter. Jemand von diesem Vorfall betroffen?
Daten im Darknet angeboten
Ergänzung: Es sind wohl 1 Million deutsche Benutzer betroffen, und die Daten werden in einem Untergrundforum angeboten. Ein Unbekannter bietet insgesamt 3 Millionen Datensätze an. Das berichtet heise mit Bezug auf Have I been pwned in diesem Artikel.
Anzeige
Ist ja gut, dass nur Informationen abgezogen wurden, die einen Identitätsklau ermöglich.
Puh, haben alle noch mal Glück gehabt.
Sorry, aber DAS ist ja nicht bei denen exklusiv, sondern ist einfach an vielerlei Stellen möglich! 🤷♂️
Da hast du vollkommen recht, kennst du ja von der ePA.
"Der Anbieter beruhigt, dass keine Benutzerkennwörter und keine sensiblen Daten, wie etwa Zahlungsinformationen, der angemeldeten Benutzerinnen oder Benutzer betroffen seien."
Bin ich der einzige der die Adresse, Telefonnummer, Mail Adresse und auch den Vollständigen Namen im Zusammenhang mit den anderen Daten auch als "sensible Daten" sehe? Da kann man schon guten Unfug mit anstellen (und die Phisher wird es auch freuen).
naja diese Daten kannst du ganz offiziell bei jedem Einwohnermeldeamt kaufen
;-P
Es sei den du hast dagegen Widerspruch eingelegt, was aber im Schnitt keine 5% tun.
Von daher kann man schon sagen das das keine wirklich sensible Daten sind.
Durch den Hack haben sich die Hacker also lediglich die Kosten gespart ;-P
Ich glaube nicht dass das Einwohnermeldeamt meine E-Mail Adresse und Telefonnummer hat. Jedenfalls hab ich diese nie dort angegeben.
Und ich glaube auch nicht dass irgendwelche "Phisher" zum Einwohnermeldeamt gehen und dort Daten kaufen.
Ich war kürzlich auf dem Einwohnermeldeamt wegen des Widerspruchs. Die Dame konnte mir auf mein Auskunftsersuchen genau angeben, wer auf meine Daten zugegriffen hatte. Neben dem Betreiber war es erinnerungsmäßig eine Statistikbehörde. Aufschlussreich war aber die Aussage der Sachbearbeiterin: "Haben Sie Payback, die Rewe-App oder andere Einkaufs-Apps …".
Fakt ist: jeder kann sich dort Datensätze kaufen! Als Verwendungszeck gibts du einfach Statistische Studien/Auswertungen an… löhnst und gut ist. Wie ich ja bereits sagte: Hacker greifen sich halt lieber ohne zu zahlen Daten ab.
Fakt ist auch das nur ca. 5% der Leute der Datenweitergabe widersprechen.
Und nein diese Daten zählen nicht zur hochsensiblen Daten…
Und nur mal so am Rande: Wer bitte meldet sich bei Online Foren den mit Echtdaten an? Das muss doch dann schon weh tun?
Dagegen kann man widersprechen? 😯
Auskunftserteilung und Widerspruchsmöglichkeiten im Meldewesen
Danke – hatte ich mittlerweile dann auch gefunden. 😉
JA kann man! Direkt auf dem Amt Widerspruch gegen die Datenweitergabe einlegen…
Ok – geht das auch einfach als pauschaler Widerspruch?
Ich seh' überall (BfDI/meine Kommune) nur mit verschiedenen Punkten gefertigte Vorlagen. 🤔
Logo. Natürlich kann man widersprechen.
Auch z.B. dass Parteien deine Anschrift nicht bekommen für Wahlwerbung o.ä.
siehe z.B. https://www.datenschutz.de/wahlwerbung-mit-adressdaten-vom-meldeamt-landesdatenschutzbeauftragter-informiert-ueber-die-zulaessigkeit-der-adressweitergabe-und-das-widerspruchsrecht/
Hmm…
Also, so "logisch" find' ich das gar nicht, weil vermutlich – ebenso, wie ich – die meisten Bürger eben eher NICHT davon ausgehen, dass der Staat mit gewissem Selbstverständlichkeitsautomatismus persönliche Daten einfach "verteilt" – da sollte nämlich ein Widerspruch erst gar nicht notwendig sein (müssen)! 🤷♂️
Weiterhin begründet sich m. Mg. n. daraus auch eher die obige Erwähnung von @Luzifer mit den im Umkehrschluß von ca. 95% getragenem Widerspruchsverzicht durch simple Unwissenheit der Ausprägung solcher Bürokratieprozesse – als hätte man nichts anderes zu tun, als sich permanent zusätzlich mehr oder weniger aufwändig damit auseinanderzusetzen.
Da ist doch sicherlich die Vermutung, dass die staatliche Instanz den (Daten-)Schutz der Bürger vor wirtschaftliche Interessen voranstellt, erstmal durchaus legitim.
Zu den Widerspruchshinweisen der verschiedenen Behörden fällt auf, dass in den – zwar vielfach verfügbaren – jeweiligen Online-Formularen (auch meiner Kommune) leider einfach keine pauschale, sondern eher nur punktuelle Widerspruchsmöglichkeit angeboten wird. 🙄
Da stellt sich doch die Frage, warum das so ist, gell?!
Btw.:
In den mittlerweile über 16 Jahren an meiner jetzigen Adresse andauernden Wohnhaftigkeit habe ich noch nie (persönliche) politisch orientierte bzw. Wahl-Werbung erhalten. 😉
Moin!
Es ließt sich auch keiner den Schrieb durch, der zu unterschreiben ist. Da steht es auch mit drauf mit der Weitergabe :D
Btw werden die Register verschiedener Bereiche modernisiert und mit einander verknüpft. Z.B. Für Meldewesen, Wohngeld, Elterngeld, Waffenregister. (https://www.digitale-verwaltung.de/Webs/DV/DE/registermodernisierung/registermodernisierung-node.html) Dadurch sollen falsche Eingaben, ausgemerzt werden und benötigte Daten für Vorgänge aus vorhandenen Datensätzen abgerufen werden können, wenn die Person eine Anfrage stellt (müssen dann weniger Sachen einreichen). Weiter soll auch ein "Datenschutzcockpit" kommen, um der Weitergabe widersprechen zu können und ggfs. mit einem Abrufverlauf (https://www.digitale-verwaltung.de/Webs/DV/DE/registermodernisierung/elemente/datenschutzcockpit/datenschutzcockpit-node.html)
MfG,
Blackii
Ähm, welcher "Schrieb", den man sich nicht durchliest, ist gemeint?
Btw.:
Und es geht beim Widerspruch NICHT um die Einverständnisverweigerung zu innerbehördlichem Datenaustausch zum Zwecke des Abgleichs, sondern um die freimütige Weitergabe von persönlichen Daten an EXTERNE Anfragesteller.
Dieses mit dem Narrativ "zum Wohle der Wirtschaft" automatisiert zur Selbstverständlichkeit etablierte vorausgesetzte Einverständnis des Bürgers nur noch ausschließlich via Opt-Out zu realisieren ist grundlegend FALSCH!
Danke!
Mich hatte bisher noch niemand zu keiner Zeit über eine Widerrufsmöglichkeit hingewiesen!!!
"sensible Daten" ist in der DSGVO definiert (geht in Richtung medizin. Daten, politische, religiöse, sexuelle Orientierung).
Hi, ich wurde über Have I Been Pwned informiert, dass meinen Daten gefunden wurden.
Eine offizielle aktive Mitteilung gab es vom Betreiber nicht, nur die Stellungnahme auf der Website.
doch, die gab es. hab ich bekommen.