Statement zum digitec-Leck

Update, 5.12.2017:

Das Datenleck steht nicht im Zusammenhang mit dem heute durchs MELANI publizierten Fall, bei dem knapp 70'000 Logins entwendet wurden. Wir konnten die Liste ausfindig machen und gleichen diese mit unseren Kundendaten ab. Bei Treffern setzen wir das Passwort betroffener Kunden zurück.

An dem unten beschriebenen Fall sind wir weiterhin dran. Bislang haben sich 50 betroffene Kunden bei uns gemeldet – angesichts des medialen Echos eine sehr geringe Zahl. Auch sind die Fälle nicht konsistent, was uns darauf schliessen lässt, dass es sich um Daten aus verschiedenen Quellen handelt. Wir gehen deshalb aktuell der These nach, dass doch nicht wir das Leck waren, sondern womöglich ein anderes oder mehrere andere Unternehmen.

---

Statement von 6.11.2017:

Wir haben Grund zur Annahme, dass Betrüger in den Besitz von Kontaktdaten einiger unserer Kunden gekommen sind.

Wichtig: Wir sind uns sicher, dass keine Kreditkarten-Informationen abgegriffen wurden. Wir gehen zudem davon aus, dass keine Login-Passwörter nach aussen gedrungen sind. Bei den potentiell betroffenen Daten handelt es sich um Name, Geschlecht, Telefonnummer, Postanschrift und E-Mail-Adresse.

Kreditkarteninformationen waren nie in unserem System gespeichert. Die sensiblen Daten liegen bei der SIX (Saferpay) und Datatrans. Login-Passwörter speichern wir zudem nicht als Klartext.

Wir gehen zurzeit davon aus, dass die Betrüger über unseren alten digitec-Shop auf einzelne Kundenkonten zugreifen konnten. Potenziell betroffen sind daher gemäss aktuellem Wissensstand Kundendaten von 2001 bis maximal Mitte 2014. Die mutmassliche Sicherheitslücke ist in der Zwischenzeit geschlossen. Der neue digitec-Shop ist gemäss unseren Recherchen nicht betroffen, dasselbe gilt für Galaxus.

Wann der Hack stattgefunden hat, wissen wir nicht. Aus einer Kundenkorrespondenz schliessen wir darauf, dass das Leck womöglich schon im Jahr 2016 oder vorher ausgenützt wurde. Die alte Digitec-Seite haben wir noch für Teile der RMA eingesetzt. Der externe Zugriff auf die URL ist nun nicht mehr möglich.

Hinweise auf die betrügerischen Aktivitäten haben wir von betroffenen Kunden bekommen. Wir stehen im aktuellen Fall zudem im engen Austausch mit der Bundesmeldestelle MELANI. Aus der bisherigen Meldequote des MELANI schliessen wir, dass sich der Kreis der Betroffenen in Grenzen hält. Daher haben wir diejenigen Kunden individuell informiert, von denen wir wissen, dass ihre Kontaktdaten abgegriffen wurden.

Wir entschuldigen uns bei den betroffenen Kunden für die Unannehmlichkeiten. Die abgegriffenen Kontaktdaten werden unseres Wissens nach für Phishing-Mails missbraucht. Links und Anhänge von Mails mit dubiosen Absendern sollte man generell nie öffnen. Wir bitten unsere Kunden, uns verdächtige E-Mails auf die Adresse fraud@digitecgalaxus.ch weiterzuleiten, sofern die Vermutung besteht, dass darin enthaltene Angaben von digitec kommen. Diese helfen uns bei unseren weiteren Abklärungen.

Wir haben unsere Investitionen in die Sicherheit in den vergangenen Jahren massiv erhöht und werden dies auch weiterhin tun müssen: Wir gehen davon aus, dass in Zukunft immer mehr Kriminalität im Netz stattfinden wird. Leider kann kein Unternehmen solche Attacken ausschliessen – auch mit grössten Anstrengungen nicht.

Zwischen dem aktuellen Fall und den Logins durch Phisher im August und September gibt es nach heutigem Erkenntnisstand übrigens keinen Zusammenhang. Damals wurden Logins bei uns durchprobiert, die woanders gestohlen wurden.

Wir haben eine dedizierte Hotline für Besorgte eingerichtet. Du kannst dich unter 044 575 96 20 bei uns melden. Oder alternativ via fraud@digitecgalaxus.ch.

Sobald wir weiter Informationen haben, werden wir diesen Artikel aktualisieren.