Eine unbekannte Person hat eine Datei mit Details zu Kundinnen und Kunden von Venova.ch veröffentlicht. Der Online-Shop aus Müstair im Kanton Graubünden sieht sich damit mit einem möglichen Datenleck konfrontiert.
Laut des Hackers umfasst die in einem öffentlichen Forum zum Download angebotene Datei 250'000 Accounts von registrierten Personen. Veröffentlichte Beispiele zeigen, mit welchen Informationen: Name, Geburtsdatum, E-Mail-Adresse. Bei weiteren Personenangaben lassen sich Wohnadresse und Telefonnummern finden. Gehasht sind Passwörter und eventuelle Zahlungsangaben online. Bei den publizierten Angaben sind Personen trotzdem über eine User-ID und eine Bestell-ID zuweisbar.
Auf Anfrage von inside-it.ch bestätigt Venova mit ein paar Tagen Verspätung den Datendiebstahl. "Ja, uns ist ein Datendiebstahl einer BackUp-Datei unseres Shopsystems bekannt", schreibt das Unternehmen. Wie genau die Angreifer an die Serverzugänge kamen, werde derzeit noch intern in Erfahrung gebracht. In den gestohlenen Files "sind Name, Anschrift, E-Mail-Adresse und Bestellhistorie unserer Kundinnen und Kunden enthalten", so Venova. Die Passwörter seien aber verschlüsselt und Zahlungsdaten nicht betroffen. Nach dem Angriff seien sämtliche Zugänge geändert und vorübergehend gesperrt worden, "um weitere Sicherheitsmassnahmen umzusetzen".
Venova begann 2010 als Elektronikhändler, hat das Angebot seither auf Garten- und Hobby-Werkzeuge, Lego-Spielzeug, Haushaltsgeräte und Weiteres erweitert. Laut Website wird mit verschiedenen Zahlungsanbietern zusammengearbeitet.
Update 14.3. Stellungnahme Venova eingefügt.