Hacker wollen Kundendaten von Zur Rose geklaut haben

20. Januar 2022 um 12:33
  • security
  • breach
  • zur rose
  • gesundheitsbranche
image

Die Online-Versandapotheke beruhigt ihre Kunden in einer E-Mail. Die potentiell geleakten Passwörter sind indes laut Hacker mit einem Standard von 1995 gesichert.

Die Versandapotheke Zur Rose ist möglicherweise Opfer eines Hackerangriffs geworden. Am 18. Januar wurden angeblich Kundendaten des Online-Shops für Kosmetik- und Körperpflegeprodukte "zurrose-shop.ch" im Netz angeboten. Deren Echtheit wird nun geprüft.
Bei den mutmasslich entwendeten Daten handelt es sich um Namen, Adressen, E-Mail-Adressen und Telefonnummern sowie Passwörter, teilte Zur Rose mit. Die Kriminellen bieten für 150 Euro fast 575'000 Datensätze zum Verkauf.
Die Passwörter seien durch ein Hash-Verfahren gesichert und somit nicht nutzbar, heisst es von zur Rose. Glaubt man den Kriminellen, sind die Passwörter mit SHA1 gesichert, einem Verfahren aus dem Jahr 1995. Dieses wird noch immer breit eingesetzt, auch wenn immer wieder Kritik an der Sicherheit geäussert wurde. Die Hashfunktion kann geknackt werden, wie zuletzt Google 2017 nachwies, mit handelsüblichen Systemen dürfte der Aufwand aber so erheblich sein, dass im vorliegenden Falle keine reelle Gefahr besteht. Dennoch empfahl das National Institute of Standards and Technology (NIST) bereits 2011, auf einen neueren Standard zu wechseln.
Von Zur Rose kommen weitere Entwarnungen: Nicht betroffen seien Daten zu den Bestellungen sowie zu Zahlungsinformationen. Ebenfalls unbehelligt geblieben seien die Daten der Online-Apotheke "zurrose.ch". Diese nutze eine technisch separate Plattform.
Auf Anfrage von inside-it.ch wollte sich das Unternehmen aufgrund der laufenden Ermittlungen nicht weiter äussern. Es versichert aber, dass auch die Kundenstammdaten der Online-Apotheke und des betroffenen Shops für Kosmetik- und Körperpflegeprodukte "komplett getrennt" seien.
Aktuell stehe noch nicht fest, ob es sich bei den zum Verkauf angebotenen Daten tatsächlich um echte Kundendaten handle. Interne und externe Datenexperten würden mit den Behörden zur schnellstmöglichen Klärung des Vorfalls zusammenarbeiten. Die Kunden des Online-Shops wurden kontaktiert und über die laufenden Abklärungen und Massnahmen informiert.

Loading

Mehr erfahren

Mehr zum Thema

image

Behörden schalten grosses Hacker-Forum aus

Auf Breachforums wurden zuletzt die Datensätze von Dell und Europol verkauft. Beteiligt an der internationalen Aktion war auch die Kantonspolizei Zürich. In der Schweiz wurden Server sichergestellt.

publiziert am 16.5.2024
image

Studie: Was Menschen im EPD verheimlichen

Forschende haben untersucht, wie ehrlich Menschen bei ihren EPD-Einträgen sind. Dabei hat sich gezeigt: Je stigmatisierter eine Krankheit ist, desto seltener wird sie eingetragen.

publiziert am 16.5.2024
image

Epic führt zu Datenschutzdiskussionen am Inselspital

Der Berner Datenschützer äussert sich zum Einsatz des US-Klinik-Informationssystems Epic am Inselspital. Es führt zu einem Paradigmenwechsel, bei dem das Spital nachjustieren musste.

publiziert am 16.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024