In einem Darknet-Forum wurde ein umfangreicher Datensatz angeblicher Schweizer Kunden von Brack.ch zum Verkauf angeboten. Ein unbekannter Nutzer behauptet, E-Mail-Adressen, Telefonnummern und Rechnungsinformationen von presque 2,5 Millionen Brack-Kunden zu verkaufen. Seine Einlassung im Forum: «Hallo, heute biete ich die gesamte Datenbank von Brack.ch an.»

Diese Daten gelten als hochsensibel, da sie nicht nur persönliche Kontaktdaten, sondern auch Informationen über gekaufte und nicht gekaufte Waren sowie Kaufverhalten enthalten sollen. Laut dem Hacker umfasst der Datensatz auch Details darüber, ob Produkte auf Kredit erworben wurden, und sogar Chats mit dem Brack-Kundendienst sollen Teil der Verkaufsdaten sein.

Der Anbieter ist im Forum aktiv und offenbar bekannt, da er seit Juni 2023 dort Mitglied ist. Es bleibt unklar, ob er zuvor weitere Daten zum Verkauf angeboten oder bereits Geld für Daten verlangt hat. Zu diesem Zeitpunkt hat der Nutzer sein Angebot sowohl für Brack.ch als auch ein weiteres für die spanische Warenhauskette El Corte Inglés gelöscht.

Brack reagiert mit intensiven Ermittlungen

Bis zur Kontaktaufnahme dieser Redaktion war Brack über das mögliche Datenleck nicht informiert. Der Datensatz wurde bereits seit Samstag in einem Forum angeboten. Ob die Daten tatsächlich verkauft wurden, bleibt jedoch unklar.

Auf Nachfrage von Brack zu der vermeintlichen Sicherheitslücke erklärte ein Unternehmensvertreter: „Aktuell können wir nicht bestätigen, dass es sich um ein Datenleck in dieser Form handelt. Unsere Sicherheitsexperten vermuten, dass der angebotene Datensatz eher Fragmente einer sogenannten Komboliste enthält, die auch Daten anderer Plattformen und Onlinehändler beinhaltet.“

Das Unternehmen unterstreicht jedoch, dass, sollte es sich um Brack.ch-Daten handeln, dies inakzeptabel sei und dass man „auf Hochtouren ermittelt“.

Die möglichen Gefahren dieser Daten

Kriminelle könnten mit den im Hackerangebot beschriebenen Kundeninformationen gezielte Phishing-E-Mails versenden. Diese könnten den Betroffenen vorgaukeln, dass beispielsweise Rechnungen offen sind oder dass sie ihre Adresse zur Lieferung bestätigen müssen. Hierbei könnten echte Produktnamen oder Support-Gespräche aus dem vermuteten Leak die Glaubwürdigkeit der Betrugsversuche stark erhöhen.

Brack gibt derzeit keine Auskunft über die genaue Anzahl der möglicherweise betroffenen Kunden oder die Art der kompromittierten Daten. Ein Unternehmenssprecher betont: „Wir ermitteln aktuell und werden die Öffentlichkeit informieren, sobald wir konkretere Informationen haben.“

Kunden werden zur Handlung aufgefordert

Präventiv hat Brack entschieden, alle Kunden zu warnen und sie auffordert, ihre Passwörter umgehend zu ändern. Der Mediensprecher führt aus: „Wir informieren alle unsere Kund:innen in diesen Minuten proaktiv über die Situation und bitten sie, ihr Passwort für unser Portal und andere Onlineportale zu ändern.“

Wenn die Daten, die vom Hacker angeboten werden, echt sind, stellt es gemäß dem Schweizer Datenschutzgesetz eine ernsthafte „Verletzung der Datensicherheit“ dar. Solche Vorfälle bedeuten, dass persönliche Daten möglicherweise unbeabsichtigt oder widerrechtlich verloren oder Unbefugten zugänglich gemacht werden können.

Sollte sich herausstellen, dass viele sensible Informationen betroffen sind – darunter Name, Kontaktdaten und Rechnungsinformationen – dann würde das hohe Risiken für die betroffenen Personen mit sich bringen. Gemäß Artikel 24 des Datenschutzgesetzes müsste Brack diesen Vorfall unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten melden.

Bleiben Sie sicher, bleiben Sie informiert! Abonnieren Sie unseren Newsletter, um stets die neuesten Informationen zu Datenschutz und Cyber-Sicherheit zu erhalten. – Verpassen Sie nicht, zu handeln!