In einem Onlineforum, das als Umschlagplatz für gestohlene, geleakte oder gehackte Daten gilt, sind offenbar Schweizer Daten im Angebot. Genauer: E-Mail-Adressen, Telefonnummern und Rechnungsinformationen von fast 2,5 Millionen Brack-Kundinnen und -Kunden. Das zumindest behauptet ein Nutzer, der sie auf dem Forum zum Kauf anbietet. Er tut das mit den Worten: «Hi, heute biete ich die gesamte Datenbank von Brack.ch an.»

Es sollen sensible Daten sein, angeblich auch zu gekauften und nicht gekauften Waren. Der Datensatz, den man nur komplett anschauen kann, wenn man ihn kaufen würde, enthalte auch Informationen darüber, ob Produkte auf Kredit gekauft worden seien, und selbst die Chats mit dem Brack-Kundendienst seien enthalten.

Der Nutzer scheint im Forum bereits bekannt zu sein. Seinen Account gibt es seit Juni 2023, er hat offenbar bereits neun Postings abgesetzt. Unklar ist, ob er in all diesen Beiträgen Geld für Daten verlangte. Online auffindbar ist aber ein weiteres Angebot des Hackers, in dem er angebliche Daten der spanischen Warenhauskette El Corte Inglés anbietet. Sein Angebot zu Brack.ch, seinen Account in dem Onlineforum und somit auch das Angebot rund um das spanische Warenhaus hat der Nutzer heute gelöscht.

Brack ermittelt «auf Hochtouren»

Bis zur Anfrage dieser Redaktion wusste das Unternehmen nichts von der potenziellen Sicherheitslücke. Der Datensatz wurde seit Samstag in einem Forum angeboten. Ob die Daten gekauft wurden, ist aktuell nicht bekannt.

Auf die Frage, ob man bestätigen könne, dass es das Datenleck in dieser Form gebe, heisst es von Brack: «Das können wir aktuell in dieser Form nicht bestätigen. Unsere Sicherheitsexpert:innen sehen derzeit im angebotenen Datensatz eher Fragmente einer sogenannten Komboliste, in der auch die Daten anderer Plattformen und Onlinehändler enthalten zu sein scheinen.»

Das Unternehmen lässt aber auch mitteilen: «Sofern Brack.ch-Daten betroffen sind, ist dies für uns natürlich nicht hinnehmbar – und wir ermitteln auf Hochtouren.»

Das könnten Kriminelle mit den Daten machen

Mit den vom Hacker beschriebenen Kundeninformationen liesse sich einiges anstellen. So könnten mit echten Namen, E-Mail-Adressen, Rechnungsnummern extrem gezielte Phishingmails verschickt werden à la «Ihre Brack-Rechnung ist noch offen. Bitte jetzt bezahlen». Betrüger könnten versuchen, an weitere Daten zu kommen mit E-Mails wie: «Ihre Lieferung verzögert sich – bitte bestätigen Sie Ihre Adresse.» Weitere Informationen wie echte Produktnamen oder Supportverläufe aus dem angeblichen Leak würden bei solchen Versuchen die Glaubwürdigkeit massiv erhöhen.

Wie viele Kunden womöglich betroffen sind und welche Art von Daten kompromittiert wurden, gibt Brack nicht an. Es heisst seitens des Versandhändlers: «Wir ermitteln aktuell und werden informieren, sobald wir das genau determinieren können.»

Brack bittet alle Kunden, die Passwörter zu ändern

Präventiv hat sich das Unternehmen heute entschieden, die gesamte Kundschaft zu warnen. Vom Mediensprecher heisst es: «Wir informieren alle unsere Kund:innen in diesen Minuten proaktiv über die Situation und bitten sie, ihr Passwort für unser Portal und andere Onlineportale zu ändern.»

Sind wirklich die Daten betroffen, die der Hacker anbietet, handelt es sich beim Datenleck nach dem Schweizer Datenschutzgesetz wohl um eine «Verletzung der Datensicherheit». Das ist eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

Wenn bei diesem Vorfall tatsächlich viele sensible Daten betroffen sind – also etwa Namen, Kontaktinfos und Rechnungsdaten –, besteht ein hohes Risiko für die betroffenen Personen. Laut Artikel 24 des Datenschutzgesetzes müsste Brack so einen Vorfall sofort dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten melden.

Fehler gefunden?Jetzt melden.