c't 17/2016
S. 17
News
Sicherheit

Datenklau beim Elektronikversand Pollin

Bei einem Hackerangriff auf den deutschen Elektronik-Versandhandel Pollin wurden von dessen Servern im großen Stil Nutzerdaten kopiert. Darunter sind die Mailadressen und Passwörter, wohl aber auch postalische Adressen, Telefonnummern und Bankdaten der Kunden. Der Angriff hatte am 28. Juli stattgefunden und wurde laut dem Unternehmen bei einer Sicherheitsanalyse entdeckt, fiel aber schon vor der Veröffentlichung durch die Firma auf, da Kunden personalisierte Phishing-Mails bekamen. Einige der Mails gingen an Adressen, die deren Besitzer nur für den Einkauf bei Pollin verwendet hatten.

Pollin teilte gegenüber c’t nicht mit, wie die Passwörter gesichert waren, hat diese im eigenen Shop allerdings für alle Kunden zurückgesetzt. Außerdem empfiehlt die Firma, überall das Passwort zu ändern, wo Kunden das Pollin-Passwort ebenfalls verwendet haben. Laut der Firma wurde der Angriff gestoppt und die zugrunde liegenden Sicherheitslücken gestopft. Wie genau die Angreifer in das Shop-System gelangten, wollte man nicht sagen. Man habe bereits die zuständige Datenschutzbehörde informiert und außerdem Strafanzeige gestellt. Die Cybercrime-Einheit der Polizei Ingolstadt ermittelt. (fab@ct.de)

Sie wollen wissen, wie es weitergeht?

DHL sichert Packstation-App gegen Missbrauch

Wie in c’t 14/16 demonstriert, hatte die App DHL Paket eine gravierende Sicherheitslücke, die es Kriminellen erlaubte, mit erbeuteten Anmeldedaten auf fremde Packstationen zuzugreifen. Die Packstationen hätten eigentlich per mTAN durch einen zweiten Faktor – das Smartphone des Packstation-Besitzers – gesichert sein sollen. Da DHL die Auslieferung der mTAN aber aus Komfortgründen von SMS auf die App selbst umgestellt hatte und dabei vergaß, zu verifizieren, ob das Handy auch wirklich dem Besitzer der Packstation gehört, ließ sich das umgehen. So konnte ein Krimineller die App auf dem eigenen Handy installieren, sich mit den geklauten Packstation-Daten anmelden und die mTAN empfangen. Nach dem Update der App muss der Besitzer des Packstation-Kontos nun erst einmal über einen SMS-Code beweisen, dass das eingesetzte Handy auch ihm gehört.

Die Sicherheit des eigenen Packstation-Kontos ist nicht nur wegen der dorthin gelieferten Pakete sehr wichtig. Auch Kriminelle benutzen geknackte Packstationen gerne dazu, sich illegale Waren aus dem Darknet, etwa Drogen oder Waffen, liefern zu lassen, ohne dass der Besitzer des Kontos davon etwas mitkriegt. Auch der Attentäter von München scheint sich so seine Pistole besorgt zu haben (siehe S. 16). (fab@ct.de)

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen