STIGA data leak (garden and sport tools)

[German]The company STIGA, active as a supplier in the field of robotic lawnmowers, gardening equipment and sporting goods, has suffered a data protection incident. A reader had made enquiries and received confirmation from the provider. Customer data has been leaked and is now being offered on the Darknet.

Who is STIGA?

Stiga S.p.A., referred to here as STIGA, is a manufacturer of garden tools and sports products based in Castelfranco Veneto, Italy.

On the company's website, for example, you can find out that STIGA manufactures autonomous robotic mowers and lawn tractors. The group also offers tennis rackets.

The company was founded in Sweden in 1934 and was independent until 2000. From 2000, it became part of the Global Garden Products (GGP) group, although the Stiga name was retained as a trademark.

After changing its name to Stiga Group and relocating its headquarters to Italy, the company now employs 1,750 people and has an annual turnover of around 500 million euros.

A reader's tip

A reader who does not wish to be named contacted me by email on November 27, 2024. He wrote that he had been informed via Google that there had been a data breach at STIGA. He mentioned that the company STIGA sells garden machinery, garden tools and sporting goods. The reader did not provide any details about the Google find, but wrote that he had received information along the lines of: "STIGA. Your data has been exposed due to a data breach and was found on the dark web on 08. Nov. 2024."

Asked STIGA

The reader then contacted STIGA by email and received an answer. They confirmed a data breach.

On 24, September 2024, STIGA IT staff discovered that an unauthorized third party had penetrated the system. He had obtained the access data from one of STIGA's suppliers. It remains unclear to me why a supplier can access customer data – in other words, the attacker was probably able to access other data in the network once he was in the system.

In any case, customer data has been stolen and is now being offered on the Darknet. STIGA writes that the affected data includes first name, surname, billing and delivery address, e-mail, telephone number and order data that customers have transmitted via the Internet.

No sensitive information such as financial data, payment details or credit card information is said to have been leaked. I consider the statement that no special categories of personal data relating to health, racial or ethnic origin, political or religious beliefs, etc. were compromised to be bullshit bingo. The GDPR does recognize these categories, but I was not previously aware that I had to provide STIGA with information about my health, race or religious beliefs when I wanted to buy a lawn mower.

The reader writes that it is surprising that customers were not informed immediately, but apparently only on request. As the reader bought equipment from Stiga, all his data is now on the Darknet. He finds this justifiably bad and unfortunately the "immediate measures taken" no longer help him personally.

Notification from STIGA

Her is the Notification from STIGA – it's in German.

Was geschah: Am 24. September hat das IKT-Team der STIGA einen Verstoß festgestellt, der unsere Systeme betraf. Aufgrund einer unsachgemäßen Verwendung von Zugangsdaten, die einem unserer Lieferanten zugewiesen wurden, kam es zu einem unbefugten Zugriff und einer vorübergehenden Verbreitung einiger Ihrer Daten.

Welche personenbezogenen Daten waren betroffen: Zu den von der Sicherheitsverletzung betroffenen Daten gehören Vorname, Nachname, Rechnungs- und Lieferadresse, E-Mail, Telefonnummer und Bestelldaten, die uns über das Internet übermittelt wurden. Weder sensible Informationen wie Finanzdaten, Zahlungsdetails oder Kreditkarteninformationen noch besondere Kategorien personenbezogener Daten wie Daten über Gesundheit, Rasse oder ethnische Herkunft, politische oder religiöse Überzeugungen sind gefährdet.

Was wir tun:

• Wir haben sofortige Maßnahmen ergriffen, um unsere Systeme zu sichern und jeden weiteren unbefugten Zugriff oder jede weitere Verbreitung zu verhindern (z. B. Sperren des verletzten Kontos und Ändern der Passwörter anderer Konten).
• Wir haben die erforderlichen Überprüfungen durchgeführt, die bestätigt haben, dass nur die oben beschriebenen personenbezogenen Daten betroffen sind und weder andere Systeme noch Datenbanken kompromittiert wurden.
• Unser Team arbeitet aktiv mit externen Experten zusammen, um sicherzustellen, dass das Problem vollständig gelöst wird.
• Wir haben die Datenschutzaufsichtsbehörde benachrichtigt und Anzeige bei den Strafbehörden erstattet.

Was sind die möglichen Folgen?

Aufgrund der geringen Sensibilität der betroffenen Daten erwarten wir keine schwerwiegenden Folgen als Folge des Verstoßes. Dennoch kann das Risiko eines Identitätsdiebstahls oder eines Missbrauchs Ihrer Daten nicht völlig ausgeschlossen werden.

Was Sie tun können: Wir empfehlen die folgenden Maßnahmen, um Ihre Daten zu schützen:

1. Überwachen Sie Ihre Konten: Bitte überwachen Sie alle relevanten Konten auf verdächtige Aktivitäten.
2. Seien Sie vorsichtig bei Phishing- oder Betrugsversuchen: Seien Sie vorsichtig bei unaufgeforderten Mitteilungen, in denen Sie um Ihre persönlichen Daten gebeten werden (z. B. indem Sie immer die Identität des Absenders überprüfen), und klicken Sie nicht auf verdächtige Links.
3. Ändern Sie Ihre Online-Zugangsdaten, falls diese leicht aus den oben angegebenen personenbezogenen Daten abgeleitet werden können. In jedem Fall bestätigen wir, dass keine Daten oder Informationen im Zusammenhang mit Ihren Zugangsdaten von der Verletzung betroffen sind.