Du bist nicht mit dem Internet verbunden.
Firmenneuigkeiten

Warnung vor Phishing-Betrügern

Betrüger sind im Besitz einer Liste aus E-Mail-Adressen und dazugehörigen Passwörtern. Damit konnten sie sich auch Zugriff auf Konten unserer Kunden verschaffen. Wir haben die betroffenen Kunden informiert. Weder digitec noch Galaxus wurden gehackt.

Die Melde- und Analysestelle Informationssicherung (MELANI) der Schweizerischen Eidgenossenschaft hat am 29. August die Warnung herausgegeben, dass sich Unbefugte Zugang zu schweizweit mehreren tausend E-Mail-Konten verschafft haben. Unser Experte Dominik hat gleichentags eine persönliche Analyse publiziert. Wir waren in diesem Moment bereits mit der Abwehr der Angriffe beschäftigt.

Besonders wichtig: Weder digitec noch Galaxus wurden gehackt! Aufgrund uns vorliegender Informationen müssen wir aber davon ausgehen, dass sich Betrüger mit den extern ergatterten Login-Daten auch Zugang zu Konten unserer Onlineshops verschaffen konnten. Unbefugte sind also im Besitz einer umfangreichen Liste mit Mailadressen und dazugehörigen Passwörtern. Die Liste wurde mit unseren Onlineshops abgeglichen. Die Wahrscheinlichkeit ist gross, dass auch andere Unternehmen bzw. deren Kunden betroffen sind.

Am Mittag des 31. August haben wir diejenigen Kunden per E-Mail angeschrieben, bei denen wir davon ausgehen müssen, dass die Betrüger Zugriff auf deren Kundenkonto hatten. Wir bitten die Kunden darin dringend, das Passwort ihres E-Mail-Kontos zu ändern.

Aus Sicherheitsgründen haben wir zudem umgehend gehandelt und die digitec/Galaxus-Konten der betroffenen Kunden zurückgesetzt. Beim nächsten Login müssen die Kunden ein neues Passwort anfordern, damit sie wieder Zugriff haben. Wir weisen die Kunden zudem darauf hin, dass sie das Passwort ihres Mailkontos anpassen sollten, und zwar noch bevor sie bei digitec und/oder Galaxus ein neues Passwort wählen.

Hier findest du übrigens einen Artikel zum Thema auf 20minuten.ch inkl. Verweis auf einen weiteren, möglicherweise im Zusammenhang stehenden Beitrag des «PCtipp». Wir haben unsere Sicherheitsvorkehrungen erhöht, unter anderem mit einer so genannten reCAPTCHA-Funktion. Erneute Angriffsversuche konnten wir damit abwehren.

Ist meine Mail-Adresse sicher?

Mit dem Checktool der Melde- und Analysestelle Informationssicherung MELANI sowie dem Dienst «Have I been PWNED» des australischen Microsoft-Direktors kannst du deine E-Mail-Adresse prüfen:

Was tun, wenn ich betroffen bin?

Das MELANI rät allen Personen und Unternehmen, ihren Check durchzuführen. Wir raten zudem auch zum Check mittels «Have I been PWNED». Sollte dein Konto betroffen sein, empfiehlt das MELANI folgende Massnahmen:

  • Ändere das Passwort sämtlicher Online-Konten, die mit der betroffenen E-Mail-Adresse verknüpft sind (Email-Konto, Online-Shops, E-Banking, soziale Medien etc.).
  • Verwende bei jedem Internet-Dienst/Online-Portal ein separates Passwort.
  • Aktiviere wo immer möglich die 2-Faktor-Authentizierung.
  • Überprüfe in den nächsten Wochen jegliche Art von Kontoauszügen, iTunes-Belastungen usw. Solltest du Unregelmässigkeiten feststellen, setze dich bitte sofort mit deiner Bank resp. dem entsprechenden Unternehmen in Verbindung.
User

Alex Hämmerli

Ich bin bei digitec und Galaxus zuständig für den Austausch mit Journalisten und Bloggern. Gute Geschichten sind meine Leidenschaft; deshalb bin ich immer auf dem neusten Stand.

15 Kommentare

User beatsiegenthaler

Danke für die Infos. Irgendwie läuft die Berichterstattung aus dem Ruder. Auch wenn ich mich zu den IT-Profis zählen darf, war der erste Eindruck, dass die credentials direkt bei digitec entwendet wurden. Das wäre wiederum etwas beunruhigend gewesen. Weil ich davon ausgehe, dass ihr eure Hausaufgaben gemacht habt und die Passwörter anständig gesalzen werden und etwas gröberes als MD5 und SHA1 im Einsatz ist.

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User mgl-computer1

ich bin auch der meinung das die Daten über Digitc gehackt und entwendet wurden. Wie sonnst sollte der Hacker im Besitz einer Liste aus E-Mail-Adressen und dazugehörigen Passwörtern kommen.

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User hosae

Ganz einfach, viele Leute verwenden die selbe E-Mailadresse und das selbe Passwort für diverse Logins.

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Happy_Warbird

Die Daten stammen von einem ausgehobenen SpamBotnet. Rund 710 Millionen Email Konti samt smtp logins waren erfasst

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Die Pseudo-Sicherheitslösung reCaptcha verkompliziert das Einloggen / macht autom. Einloggen mit Tools wie KeePass unmöglich.
Danke Digitec! Ihr straft damit verantwortungsbewusste Kunden und schont die Idioten, die immer noch mit EINEM Usernamen und EINEM Passwort im Netz unterwegs sind.

02.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

habe gerade viel zu viel zeit von meinem Leben verschwendet, umatrix in mehreren schritten beizubringen welche der über 20 verschiedenen scripte und sonstigen inhalte digitec.ch bei google holen darf. Als dann alles aktiviert war, hat er mich doch nicht nach einem Captcha gefragt, sondern via keepass-autotype einfach eingeloggt. Eigentlich wollte ich grad für ~500CHF sachen bestellen. Gehe jetzt woanders hin für die bestellung, weil wenns nicht weh tut, ändert sich ja nix.

19.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Felix92

Kann mir ein IT-Profi erklären woher man von bei einer angeblich nichtgehackten, sicheren Seite extern Benutzerkonten und Passwörter her haben soll? Geht für mich irgendwie nicht ganz auf. Selbst wenn sie extern geteilt/gehandelt wurden, müssen sie doch irgendwann mal von hier gekommen sein...??

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Happy_Warbird

Es war ein SpamBotnet.

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Happy_Warbird

@Alex Hämmerli, als Senior blabla sett der klar si das dä Bitrag meh Froge uslöst als Antworte liefered. Das die Date vom ne SpamBotnet stammed esch ned schwär z recherchiere ond hätt i dim Bitrag definitiv selle mitteilt wärde. Schad muess d Community das id Hand näh!

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Alex Hämmerli

Hallo Happy Warbird. Im Beitrag findest Du diesen Link: pctipp.ch/news/gesellschaft...

04.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Ich fide es gut das Digitec mit erweiterten Maßnahmen versucht die Sicherheit zu erhöhen, aber ein Captcha (und dann noch von Google) finde ich falsch.
Die bessere Option währe die 2FA.
Sollte das Captcha bestehen bleiben, werde ich künftig bei anderen Onlineshops einkaufen.

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User gsagt

Es ist ja kein lästiges Captcha wie bei anderen Login-Seiten. Beim Google reCaptcha muss man in der Regel nur einmal mehr klicken und in seltenen Fällen ein paar Bilder anklicken und keine unlesbaren Buchstaben abschreiben.

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Trotzdem; was sagt Digitec zu 2FA? Steht ja auch im Artikel, dass man die Zwei-Faktor-Authentifizierung nutzen soll, wo vorhanden. Ist da bei euch was in Planung?

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

@Gsagt Nein es sind eben nicht nur 1 mal mehr klicken. Ich muss immer aus neun Bildern zb Autos auswählen. Am schluss ist man etwa 30s damit beschäftigt das dumme Captcha zu lösen. Da meld ich mich lieber bei Brack an und zahl halt ein wenig mehr

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User ahaack29

Typisch die Amateur IT von Galaxus und Digitec: Je schmerzhafter für den Benutzer sicherer ist es . Es gäbe ja zahlreiche Möglickkeiten wi e Progressive Time Delay bei Fehleingabe oder 2 Faktor Authentication. Unprofessionell wählt man natürch ein Goolge service womit effictive meine Geschäftsbeziehung zu Digitec an Google verraten wird. Das ist ja das Geschäftmodel von Google vorgeblich umsonst Dienste anbiet unf dann die Userdaten verscherben. Ich werde jedenfalls nicht meht hier bestellen.

07.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.

Corporate logo