> > > > Erneut 840.000 Kundendaten von K&M Elektronik erbeutet - Update

Erneut 840.000 Kundendaten von K&M Elektronik erbeutet - Update

Veröffentlicht am: von

kmlogoZum wiederholten Male ist der Händler K&M Elektronik scheinbar Opfer eines Datendiebstahls geworden. Dabei sollen 840.000 Datensätze mit Kundeninformationen kopiert worden sein. Die bisher öffentlich nicht in Erscheinung getretene Gruppe 0xx0-Team hat auf ihrer Webseite eine entsprechende Erklärung veröffentlicht. Im Gegensatz zu den letzten Angriffen, wo von Unbekannten Kundendaten gestohlen wurden und teilweise zum Phishing genutzt wurden, betont die Gruppe, dass man die Daten nicht veröffentlichen werde. Man habe lediglich Interesse an Sicherheitslücken offenzulegen, nicht aber den Kunden zu schaden. Um die eigenen Aussagen zu untermauern hat man allerdings einige kleinere Auszüge aus den Datenbanken veröffentlicht, bei denen Namen, Anschrift, E-Mail-Adressen und Teile von Passwörtern erkennbar sind.

Bereits im Juni 2011 war bei K&M eine Sicherheitslücke ausgenutzt worden, um ein Java-Applet auf eine Seite im Shop zu schleusen. Über dieses wurde dann versucht ein Schadprogramm auf den Rechner des Benutzers zu laden. Dabei machten sich die Angreifer vermutlich 2009 entwendende Kundendaten zunutze und verschickten angebliche Gutscheinlinks an die registrierten Kunden. Nach dem K&M die Seite vollständig offline genommen hatte, versicherte man, dass die Lücken mittlerweile geschlossen und die Server durch ein externes Unternehmen überprüft worden seien. Nach beiden Vorfällen wurden die Kunden allerdings nicht per Mail informiert. Details, wer zu welchem Zeitpunkt Zugriff auf die Daten hatte, nannte das Unternehmen nicht.

Jedoch scheinen die Server trotz verstärkter Bemühungen auch weiterhin angreifbar zu sein und dabei auch sensible Daten unbemerkt zugänglich zu sein. Die Hackergruppe listet diverse Cross-Site-Scripting-(XSS)-Lücken, die den Angriff ermöglichten und verweist ebenso auf SQL-Lücken, die man noch nicht näher veröffentlichen wolle. Über eine solche Lücke wurde im Juni auch das Schadprogramm auf die Seite geschleust. Neben den Kundendaten wurden auch 46 weitere Datenbanken von K&M entwendet. Wenn man den Angaben des 0xx0-Team Vertrauen schenken kann, wurden die Passwörter in der Datenbank unverschlüsselt abgelegt. Entsprechend sollten User, die das gleiche Passwort auch anderswo verwenden, dieses so schnell wie möglich dort ändern. Auch wenn die Gruppe tatsächlich wie versprochen der Hacker-Ethik treu bleibt, ist weder eine Weitergabe völlig auszuschließen, noch dass weitere Personen und Gruppen sich Zugang verschafft haben könnten.

Derzeit prüft die Rechtsabteilung von K&M Elektronik nach eigener Aussage die Informationen zum Angriff. Eine offizielle Stellungsnahme gibt es aber noch nicht.

Update 22:12 Uhr:

Wie 0xx0 auf ihrer Seite mitteilen, wurden die diversen Lücken bei K&M Elektronik wohl mittlerweile geschlossen. Die Gruppe führt die prompte Reaktion auch auf die Berichterstattung in den Medien zurück, während vorher auf die Warnungen nur sehr zögerlich reagiert wurde. Allerdings gibt es bei K&M selbst noch keine Stellungnahme zum Umfang und Behebung des Problems zu sehen.

Weiterführende Links:

Social Links

Kommentare (27)

#18
Registriert seit: 10.05.2010

Gefreiter
Beiträge: 60
@Highlight: Zusammenfassend denke ich folgendes.
0xx0 kann man erst die Verwertung vorwerfen, wenn diese bestätigt wird. Da diese Daten verhältnismäßig leiocht zu erbeuten waren und bereits vor einigen Monaten über Hacks bei K&M berichtet wurde, sehe ich Spam auf einem Mailkonto nicht als Hinweis, dass 0xx0 was damit zu tun hat.

Was die Sicherheit der Passwörter und Kundendaten angeht, hat K&M hier mal richtig Scheiße gebaut. Schlecht für den Kunden auf kurze Sicht, gut jedoch für zukünftige Datensicherheit und somit also auch gut für den Kunden auf lange Sicht.
Jetzt müssen sich andere Unternehmen nur noch ein Beispiel dran nehmen.
#19
customavatars/avatar28653_1.gif
Registriert seit: 18.10.2005
Muddastadt
Kapitänleutnant
Beiträge: 1899
na klar habt ihr auch in der Spam nachricht direkt euren namen und nachnahmen?
ich gebe die nur in shops an!

hatte mich gestern gewundert warum ich plötzlich soviel spam mit meinen namen habe....

Beispiel: Sehr geehrter Hr."Bufu", "Man" zu unserem Letzten Telefonat........
#20
Registriert seit: 11.03.2007

Hauptgefreiter
Beiträge: 133
Ich bekomme seit wochen (fast täglich) diesen scheiss Spam (sry für die Wortwahl), immer schön mit Vorname + Nachname angesprochen :-/
somit kann ich die Mailaddy vergessen *grrrr*

Der Mindfactory Spam hat dafür grade etwas nachgelassen (andere Mailaddy) ...

##################
Sehr geehrte(r) xxxx xxxx,

vielen Dank für das freundliche Telefonat am 09.08.2011. Ich freue mich, dass ich Ihr Interesse an unserer 59-Euro-Aktion wecken konnte.

------
Guten Tag xxxx xxxx,

vielen Dank für Ihre Kontaktaufnahme vom 17.08.2011. Leider konnte ich Sie telefonisch nicht erreichen, sodass ich mich per E-Mail an Sie wende.

------
Guten Tag xxxx xxxx,

E-Mails mit einem solchen Betreff könnten bald täglich in Ihrer Mailbox landen.

Ich möchte Ihnen an diesem Wochenende zeigen, wie Sie täglich rund 150,00 Euro verdienen können.


und viele weitere *grummel*
#21
customavatars/avatar40603_1.gif
Registriert seit: 24.05.2006
BaWü
Kapitän zur See
Beiträge: 3243
@itanium2k7

genau die gleichen Emails hab ich auch bei mir im Postfach.
Das ist langsam echt nervig. Leider kann man gehen solche Spammails nichts machen.
Acc bei denen löschen bringt ja auch nichts mehr.
#22
Registriert seit: 11.03.2007

Hauptgefreiter
Beiträge: 133
@Waldes

ja dagegen kann man wenig tun, außer möglichst viele unabhänige Mailadressen, so sieht man immmer gleich wo die Schwachstelle ist ...

Achja, vorhin kam wieder eine Spammail :-/
#23
Registriert seit: 11.03.2007

Moderator/Redakteur
Beiträge: 15089
Das mit dem Hack kann passieren, ist KM und nicht die erste Shop Seite und sicher auch nicht die letzte die nicht 100% abgesichert ist.

Aber Passwörter im Klartext abspeichern? Inkompetenter gehts nicht...

Nie wieder KM. kkthxbye
#24
customavatars/avatar28653_1.gif
Registriert seit: 18.10.2005
Muddastadt
Kapitänleutnant
Beiträge: 1899
@ itanium genau die mails mein ich!

was machen wir nun mit dem Km account?

stellungnahme bezüglich unserer daten?
#25
customavatars/avatar28653_1.gif
Registriert seit: 18.10.2005
Muddastadt
Kapitänleutnant
Beiträge: 1899
kommen von Hanna Meyer und Susanne Voss diese verfi++ten mails.
#26
customavatars/avatar28653_1.gif
Registriert seit: 18.10.2005
Muddastadt
Kapitänleutnant
Beiträge: 1899
http://www.kmelektronik.de/shop/index.php?id=116


also das reicht mir nicht!
#27
Registriert seit: 11.03.2007

Hauptgefreiter
Beiträge: 133
@BUFUMAN
was soll man schon machen, die Daten sind im Netz, entweder Acc. löschen und nicht mehr bei KM einkaufen (ähnlich Mindfactory) oder weiter leben ...

Das schlimme an der Sache ist ja das es in naher Zukunft vermehrt solche Hacks geben wird... und die Händler werden sich sicher nicht bei jedem Kunden entschuldigen, siehe MF da kam gar nichts.

Achja und Hanna Meyer hat mir grad wieder geschrieben *juhu*
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

US Navy wegen Software-Piraterie auf fast 600 Millionen US-Dollar...

Logo von IMAGES/STORIES/LOGOS-2016/US-NAVY

Die US Navy ist von dem deutschen 3D-Softwareentwickler Bitmanagement wegen Software-Piraterie verklagt worden. Wie The Register berichtet, hat Bitmanagement bei dem US Court of Federal Claims Klage eingereicht, und fordert nicht weniger als 596.308.103 US Dollar Schadensersatz. Laut Klageschrift... [mehr]

AMD-Grafikkarten-Hersteller VTX3D verschwindet vom Markt

Logo von VTX3D

Vor allem für AMD-Partner sind schwere Zeiten angebrochen: Während der gesamte PC-Markt mit einer weltweit schwächelnden Nachfrage zu kämpfen hat, haben es die ersten Polaris-Grafikkarten gegen NVIDIAs Pascal-Modelle nicht leicht. Zwar kann die Radeon RX 480 leistungsmäßig durchaus mit der... [mehr]

Bing-Vorhersage: Deutschland gewinnt die Fußball Europameisterschaft 2016

Logo von IMAGES/STORIES/LOGOS-2016/EM2016

Mit einem kräftezehrenden Auftaktspiel für Frankreich und Rumänien begann am gestrigen Abend in Paris die Fußball Europameisterschaft 2016. Wie schon in der Bundesliga und der letzten Weltmeisterschaft oder gar dem Eurovision Songcontest trifft Microsofts Suchmaschine Bing erneut ihre... [mehr]

Amazon Prime Day: Um Mitternacht geht es los

Logo von IMAGES/STORIES/LOGOS-2016/AMAZON_PRIMEDAY

Nach dem großen Erfolg im letzten Jahr legt Amazon den Prime Day auch in Deutschland wieder neu auf. Ab Mitternacht soll es alle fünf Minuten neue Deals geben, ab 6:00 Uhr des morgigen Dienstags sollen stündlich 100 weitere Blitzangebote hinzukommen. Zugriff auf die Angebote aber werden nur... [mehr]

Amazon erhält Übertragungsrechte für Fußball-Bundesliga

Logo von IMAGES/STORIES/LOGOS-2016/DFL

Die Lücke zwischen Fußball-Bundesliga und Start der Europameisterschaft hat die Deutsche Fußball Liga (DFL) für die Versteigerung der Übertragungsrechte der Saisons 2017/18 bis 2020/21 genutzt. Insgesamt wurden 17 Pakete unter den Meistbietenden verteilt, zumindest in einem Punkt gab es eine... [mehr]

Amazon Prime Day: Interessante Technik-Deals im Überblick (Anzeige)

Logo von IMAGES/STORIES/LOGOS-2016/AMAZON_PRIMEDAY

Wie angekündigt hat der Online-Versandhändler Amazon um Mitternacht den zweiten deutschen Prime Day gestartet. Seitdem hagelt es bei Amazon ein Angebot nach dem anderen. Seit Mitternacht gibt es alle fünf Minuten neue Deals, seit 6:00 Uhr kommen stündlich 100 weitere Blitzangebote hinzu.... [mehr]