Hacker erbeuten 30'000 Passwörter von Suisse Velo
Suisse Velo, Anbieterin der "Suisse Velo Vignette" und weiteren Dienstleistungen rund ums Velo, ist das neuste Hacking-Opfer in der Schweiz. Die Täter erbeuteten rund 30'000 E-Mail-Adressen und Passwörter.
Suisse-Velo.ch, bekannt für ihren "Lost & Found"-Service und die Velo-Versicherung, wurde gehackt. Betroffen sind rund 30'000 User-Accounts. Die unbekannten Kriminellen erbeuteten E-Mail-Adressen und Passwörter der Nutzerinnen und Nutzer.
Die Betroffenen wurden am Donnerstag von Suisse Velo per E-Mail informiert. Darin heisst es: "Aus Sicherheitsgründen und voller Transparenz teilen wir Ihnen mit, dass unsere Entwicklungsplattform von Suisse-Velo angegriffen wurde." Nach einer Analyse habe man festgestellt, dass "E-Mail-Adressen/Login und Passwörter" gestohlen wurden. Suisse Velo hat den erfolgreichen Cyberangriff am Freitag gegenüber Watson bestätigt. Weitere Daten seien, so der aktuelle Stand der Analyse, nicht gestohlen worden: "Gemäss unseren Recherchen waren ausschliesslich direkte Accountdaten betroffen (E-Mail-Adresse/Passwort) und keine weiteren Daten wurden gestohlen." In Sachen Zahlungswesen und Kreditkartentransaktionen arbeite man mit einem Partner zusammen. "Wir selbst haben keinerlei Zahlungsdaten bei uns, somit waren diese Daten auch zu keiner Zeit gefährdet", heisst es auf Anfrage.
Suisse Velo bietet Dienstleistungen wie Lost & Found Service, Vollkaskoversicherung und eine Pannen-Assistance für Velofahrerinnen und Fahrer an. Die Velo-Versicherung wird beispielsweise von Sportfachgeschäften gleich beim Kauf eines Velos angeboten. Die Kunden geben dabei Daten wie Name, E-Mail und Telefonnummer an.
Tatzeit des Cyberangriffs
Suisse Velo spricht von einem "sehr raffinierten Vorgehen unbekannter Täter", die am letzten Wochenende zugeschlagen haben. Der Angriff erfolgte am Sonntag, 5. September 2021 und sei gleichentags bemerkt worden. Kriminelle führen ihre Cyberangriffe oft nachts oder am Wochenende aus, wenn Attacken tendenziell weniger schnell bemerkt werden.
Reaktion von Suisse Velo
Man habe "die Schwachstelle identifiziert und behoben", schreibt Suisse Velo. Vorsichtshalber wurden alle Passwörter sofort zurückgesetzt. Alle betroffenen Userinnen und User wurden am Donnerstag – also vier Tage nach dem Angriff – per E-Mail informiert und aufgefordert, ein neues Passwort zu setzen. "Wir haben uns entschieden, die Kunden sofort offen zu informieren. Viele Datendiebstähle werden leider unter den Tisch gekehrt und kommen gar nicht oder erst Jahre später ans Licht. Die Dunkelziffer der unbemerkten Datendiebstähle ist sogar noch grösser." Zudem sei das National Cyber Security Centre (NCSC) sofort informiert worden. Weiter "sei in Abklärung, ob eine Anzeige bei der Polizei gemacht" werde.
Statement von Suisse Velo zum Angriff
Suisse Velo schreibt: "Gegenüber den Angriffen, die wir tagtäglich sehen und erfolgreich abwehren, haben diese Angreifer relativ 'langsam' attackiert und sind somit erst (zu) spät durch unsere Überwachungssysteme detektiert worden. Der Diebstahl der betroffenen Login-Accounts ist natürlich schwerwiegend. Auf unserer Plattform selbst haben die Täter jedoch mit diesen Zugangsdaten gemäss unseren Nachforschungen keinen weiteren Schaden angerichtet."
"Die produktive Plattform war zu keiner Zeit betroffen. Es handelte sich um einen gezielten Angriff auf die Entwicklungsumgebung. In dieser befand sich zum Zeitpunkt des Angriffs der Datenstand von Mitte Mai 2021. Die Plattform war zu dieser Zeit im Redesign und die Daten wurden zu Testzwecken verwendet. Eine Verkettung unglücklicher Umstände hat zum Einschleusen einer Sicherheitslücke geführt, die schlussendlich ausgenutzt wurde für den Datendiebstahl."
Empfohlenes Verhalten der Betroffenen
Suisse Velo rät der Kundschaft: "Falls das gleiche Passwort woanders eingesetzt wird, umgehend ändern. Verwenden Sie für jeden einzelnen Online-Dienst ein anderes Passwort."
Betroffene finden auf der Webseite des National Cyber Security Centre (NCSC) allgemeine Informationen zum Schutz von Konten und Passwörtern. Insbesondere für den E-Mail-Account sollte immer ein einzigartiges Passwort verwendet werden.
In den letzten Tagen und Wochen wurden diverse erfolgreiche Cyberangriffe auf Schweizer Firmen und Behörden bekannt: etwa Comparis, Neuenburger Kantonalbank, die Pallas Kliniken und die von watson aufgedeckten Vorfälle bei Saurer, Habasit, Rolle und Matisa.
Update: Passwörter wahrscheinlich nicht mehr sicher
Suisse Velo schreibt: "Die Passwörter waren verschlüsselt, aber noch nicht gehasht. Im laufenden Redesign ist die Verschlüsselung mit einem Hash in Arbeit. Da es möglich ist, dass die Täterschaft den bisherigen Schlüssel kennt oder abgezogen hat, ist es auch möglich, dass die Passwörter im Klartext vorliegen." Die Betroffenen müssen also davon ausgehen, dass ihr Passwort nicht mehr sicher ist.
Dieser Artikel erschien zuerst auf Watson.
Wenn Sie mehr über Cyberkriminalität erfahren möchten, abonnieren Sie hier unseren wöchentlichen Newsletter. Auf dem Portal gibt es täglich spannende News rund um Cybersicherheit und Cyberkriminalität.
Partner
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Update: Österreichischer Investor übernimmt Devolo
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Das sind die Finalisten der Swiss Fintech Awards 2024
Der Astrologe rettet den Tag ... oder auch nicht
Was KI zur Barrierefreiheit im Web beitragen kann
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Whatsapp und Threads verschwinden aus chinesischem App Store
Logitechs Tastaturen und Mäuse erhalten direkten Draht zu ChatGPT
