Buchhandelskette Thalia: Erfolgreicher Hack auf Kundenkonten

Sicherheit (Pexels, allgemeine Nutzung)Die Buchhandelskette Thalia ist wohl Opfer eines erfolgreichen Cyberangriffs geworden. Die Hacker erbeuteten dabei auch Zugangsdaten von Kundenkonten. Nach vorliegenden Informationen wurden die Kundenkonten bereits am 20. Januar 2022 per Brutforce-Angriff geknackt. Die betroffenen Kunden wurden per Mail informiert.


Anzeige

Ich bin über nachfolgenden Tweet von Golem auf das Thema aufmerksam geworden – die initiale Berichterstattung erfolgte aber durch den Blog tarnkappe.info.

Thalia Hack

Die Kunden der Buchhandelskette Thalia wurden laut tarnkappe.info per E-Mail über den erfolgreichen Cyberangriff informiert. Laut dieser Mail wurde der Thalia Online-Shop am 20. Januar 2022 über Stunden durch einen ausländischen Bedrohungsakteur angegriffen. Dabei versuchten die Angreifer per Brut-Force Kundenkonten über Kombinationen von Benutzername und Passwort zu knacken. Laut Thalia war diese Methode bei einigen Kundenkonten wohl erfolgreich.

Thalia-Mail
Thalia-Mail, Quelle: tarnkappe.info

Der Buchhändler gibt an, dass nach seinen Kenntnissen keine Daten von geknackten Kundenkonten verändert wurden. Es wurden auch keine unberechtigten Bestellungen über diese Kundenkonten getätigt. Thalia gibt an, unmittelbar nach Bekanntwerden des Hackerangriffs umfangreiche Gegenmaßnahmen eingeleitet zu haben. In diesem Rahmen wurden die Kennwörter der betreffenden Kundenkonten zurückgesetzt. Die Kunden können sich mit der Kombination aus dem bisherigen Benutzernahmen und Kennwort nicht mehr am Thalia-Benutzerkonto anmelden. Betroffene Kunden können über den Link Passwort vergessen des Thalia Online-Shops ein neues Passwort zuweisen.

Warum bei Thalia kein Schutz vor Brute-Force-Angriffen existierte und ob es eventuell doch eine Sicherheitslücke, die beim Hack ausgenutzt wurde, ist derzeit unklar.

Die große Gefahr besteht bei Nutzern der gehackten Thalia-Kundenkonten darin, dass diese Kombination aus Benutzernahmen und Kennwort von diesen Personen auch anderweitig für Online-Konten und Internetdienste verwendet wurde. Betroffen ist daher dringend angeraten, die Benutzernamen/Kennwortkombinationen bei anderen Online-Diensten ebenfalls zu ändern und beispielweise ein neues Passwort zu vergeben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Buchhandelskette Thalia: Erfolgreicher Hack auf Kundenkonten

  1. Frank sagt:

    Guten Morgen Günter,
    bitte mal deinen Tipfehler korrigieren, so ziemlich am Anfang des Artikels:
    "Kundenkonten bereits am 20. Januar 2020 per Brutforce-…" – Jahr ist wohl falsch (2022 richtig?)

    Gruß

    Frank

  2. janil sagt:

    Die deutschen Online-Händler machen sich wegen mangelnder It-Sicherheit ihren sowieso schon bescheidenen Online-Handel auf diese Art und Weise auch noch platt. Eigentlich müsste, bei dem Andauern solcher Meldungen, der Onlinehandel doch weltweit langsam zurück gehen oder sind User so oberflächlich geworden

    • Zocker sagt:

      Die Meisten bekommen davon doch nichts mit oder ist es egal. Wie sollte der Onlinehandel da zurückgehen? Und mit dem lokalen Handel ist derzeit wenig los, der wird eh aussterben. Dann bleibt nur noch online übrig.

  3. Oliver L. sagt:

    Vermutlich wurde also das Konto nach z. B. 5 erfolglosen Anmeldeversuchen nicht für z. B. 1 Stunde gesperrt, d. h. Wörterbuchattacken waren nicht eingeplant im Sicherheitskonzept. Solche Dummheiten kennen wir ja z. B. auch von Apple (Stichwort: iCloud Hack trotz aktivierter 2FA, die aber für die iCloud noch nicht galt… ganz getreu Steve Jobs Devise "Don't make me think.").

    • Zocker sagt:

      Da fragt man sich eigentlich, wer bestraft und haftbar gemacht werden sollte. Denn sowohl Händler als auch Kunde sind offenbar fahrlässig umgegangen.

  4. A. Nonym sagt:

    Was für ein Blog ist "Tarnkappe.info"?

  5. Cestmoi sagt:

    Auf tarnkappe.info heisst es, Thalia sitze in Regensburg. Das ist so falsch, korrekt ist Hagen.

    Frappierend ist, dass man sich trotz eines Jahresumsatzes von über 1. Mrd. Euro /3/ keinen zum Betrieb /2/ gehörenden Datenschutzbeauftragten leistet.

    Und ob die beauftragte Firma Projekt 29 GmbH & Co. KG ihren Job erledigt hat (Brute-Force Abwehr, Patch Level Kontrolle), scheint fraglich.

    ___
    /1/

    Thalia.de ist ein Internetauftritt der Thalia Bücher GmbH
    Sitz der Gesellschaft: … 58099 Hagen … Amtsgericht Hagen, HRB 9698, Ust.-Id.: DE 813 334 399"

    /2/

    "Wir haben … einen externen Datenschutzbeauftragten, … Projekt 29 GmbH & Co. KG … Regensburg"

    /3/
    https://de.wikipedia.org/wiki/Thalia_B%C3%BCcher

  6. Dekre sagt:

    Danke für die Info.
    Zum Glück habe ich immer bei jedem Händler ein anderes Passwort und ich bezahle dort nie mit Kreditkarte. Das lehne ich dort ab. Das letzte mal war vor 3 oder 4 Jahren. Habe bei mir gerade ein Vermerk gemacht mit Passwort ändern.

    Das Blöde ist, dass der Benutzername immer die E-Mail-Adresse ist. Das verstehen die gesamten Onlinehändler nie, dass das nicht gut gegen kann.

    "Thalia" ist auch kein "richtiger" Buchhändler. Diesem kommt es allein auf die Knete an. Der Service ist bei Online-Kauf schlecht. Da gibt es besseres.
    Die Mitarbeiterinnen sind vor Ort nett und hilfsbereit. Jedoch ist teilweise Fachkompompetenz bei den Büchern in den jeweiligen (Fach-)Abteilungen, das gibt es noch (!), unterschiedlich im unteren Bereich. Ausnahmen gibt es immer.

    • ibbsy sagt:

      Dass man überwiegend mit der Emailadresse einloggen soll, regt mich auch schon jahrelang auf.
      Absolut unverständlich!

      • Frank sagt:

        Da habe ich auch was zu! :-(

        Die Huk24 hatte bis ca. Q3/2021 ein Login per zufälligem Benutzernahme (von der HUK24 generiert, z.B. 1234GRTD) + selbst festlegbares (selbstredend sicheres) Passwort.
        Irgendwann letztes Jahr habe ich eine Email von der HUK24 bekommen, sinngemäße Aussage:
        "Um die Sicherheit ihrer Daten bei uns zu erhöhen, ändern wir das Login. Bitte ändern sie dies bis zum Datum X (zwingend!):
        Benutzen sie dazu nicht mehr den bisherigen Nutzernamen ("1234GRTD") sondern IHRE EMAIL-Adresse + selbst festzulegendes sicheres Passwort!"

        Ohne Worte …. :-(

  7. chw9999 sagt:

    Und "natürlich" kann man sein Konto auch nicht auf einfachen Knopfdruck online löschen. Na, das soll sich ja ändern.
    Ich habe immer nur per Paypal für Gutscheine gezahlt, und nun erst mal meine Paypal-Emailadresse dort gelöscht. Dann dachte ich mir: keine Adresse, kein möglich Adressklau, zumal ich nichts zugeschickt bekommen möchte (Gutescheine – Online – eben!). Aber man kann leider keine Phantasieadressen in die Rechnungsadresse eintragen, offensichtlich werden die Straßennamen abgeglichen. Zumindest den Namen kann man ändern. "Nicht" als Vornahme geht übrigens nicht, aber "N.", immerhin ;)

    Note to self: Gastbestellung statt Konto wird immer wichtiger!

    • chw9999 sagt:

      Ich habe das mal zum Anlass genommen, einige alte Konten aufzuräumen. Abgesehen davon, dass man wirklich bei den meisten fürs Löschen des Kundenkontos nur per Brief zum Erfolgt kommt, hatte ich sogar einen Fall, bei dem ich meine Kontodaten nicht online löschen, sondern nur ändern konnte. Natürlich wurde eine eingegebene IBAN gegen den eingebauten Prüfcode validiert, also Eingabe einer beliebigen DE*** Ziffernfolge ging nicht. Aber es gibt IBAN-Test-Beispiele, z.B. unter ibanvalidieren.de, die funktionieren.
      So als Tipp, falls mal jemand drüber stolpern sollte.

  8. Oliver L. sagt:

    Das Zahlen mit Kreditkarte und/oder PayPal ist stets mit das sicherste Verfahren, sofern man ordentlich 2FA konfiguriert hat, was ja mittlerweile sogar endlich Pflicht ist. Dann können selbst erfolgreiche Hacks niemals zu finanziellen Schäden führen.
    In Verbindung mit individuellen Kennwörtern ist das alles also halb so tragisch. Und hier waren ja wohl Wörterbuch-Attacken erfolgreich, d. h. vor allem jeder Nutzer selbst schuld, der solche Kennwörter noch verwendet. Sorry, kein Mitleid.

  9. Thomas Schulz sagt:

    Würde mich wundern, wenn Thalia keine maximale Anzahl an Anmeldeversuchen für ein Konto hätte. "Kombinationen von Benutzernamen und Passwort" liest sich doch so, dass jeweils ein Benutzername mit einem zugehörigen Passwort ausprobiert wurde. Mehr, als selber überall ein anderes wild zusammengewürfeltes Passwort zu benutzen, sollte es dagegen nicht brauchen. Spricht da doch eher gegen diejenigen, bei denen es trotzdem geklappt hat. Also eher ein Cyberangriff auf die Kunden als auf Thalia.

  10. Julian sagt:

    Die Buchhandlung Osiander ist mit Thalia zusammen gegangen und war 2019 auch von einem Hackerangriff betroffen:

    https://www.swp.de/lokales/goeppingen/alle-50-filialen-betroffen-wurden-kundendaten-gestohlen_-31160693.html

    • Cestmoi sagt:

      > Osiander ist mit Thalia zusammen gegangen

      Danke für diesen Hinweis, ich konnte es kaum glauben!

      Nach Lektüre von [1] ist aber wohl davon auszugehen, dass Daten von
      Osianderkunden seit Q4/2020 bei Thalia liegen.

      ___
      [1]
      https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Fallberichte/Fusionskontrolle/2020/V-27-20.pdf?__blob=publicationFile&v=4
      "Das geprüfte Vorhaben betraf die Übernahme der alleinigen Kontrolle an der neu gegründeten Osiander Vertriebsgesellschaft GmbH & Co. KG (OVG) durch die Thalia Bücher GmbH. In der OVG werden die Bucheinzelhandelsaktivitäten von Osiander inklusive des Online-Shops gebündelt. Die verbleibende Osiandersche Buchhandlung GmbH wird die Osiander Buchhandlungen weiter betreiben und dabei die Waren im Namen und auf Rechnung der OVG verkaufen. Osiander erhält für die Verkäufe eine Provision. Thalia erbringt für die OVG Dienstleistungen im Bereich der Warenbeschaffung, der IT und des Warenwirtschaftssystems."

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.