Datenleck bei 7-Eleven betrifft 185.000 Nutzer – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Datenleck bei 7-Eleven betrifft 185.000 Nutzer

Der japanische Einzelhandelsriese 7-Eleven hat ein Datenleck in seiner Liefer-App 7NOW bestätigt, bei dem die persönlichen Daten von rund 185.000 Nutzern offengelegt wurden. Das Leck umfasst Adressen, Telefonnummern und teilweise Zahlungsinformationen.

Ein Smartphone, das das Logo der 7-Eleven 7NOW-App mit einem darüber liegenden Schlosssymbol anzeigt.

Was ist passiert

7-Eleven, die Convenience-Store-Kette, die man an fast jeder Ecke findet, ist in den Schlagzeilen, aber nicht wegen ihrer Slurpees. Das Unternehmen gab zu, dass seine beliebte Liefer-App 7NOW Ziel eines Cyberangriffs wurde, der zu einem Datenleck führte, von dem rund 185.000 Nutzer betroffen sind. Die Ankündigung erfolgte spät an einem Freitagabend, ein klassischer PR-Schachzug, der als „News Dump“ bekannt ist. Es ist ein durchschaubarer Versuch, schlechte Nachrichten unter den Teppich zu kehren, in der Hoffnung, dass sie über das Wochenende in Vergessenheit geraten.

Der genaue Zeitplan des Angriffs bleibt unklar, aber Quellen deuten darauf hin, dass das Cybersicherheitsteam des Unternehmens erstmals in der zweiten Maiwoche verdächtige Aktivitäten bemerkte. Das bedeutet, dass die Nutzerdaten wochenlang in den Händen von Kriminellen gewesen sein könnten. Anschließend dauerte es fast zwei weitere Wochen, bis das Unternehmen den Vorfall öffentlich machte. Eine solche Verzögerung wird unweigerlich die Aufmerksamkeit von Aufsichtsbehörden auf sich ziehen und natürlich den Zorn der Nutzer, deren Daten gestohlen wurden. In der heutigen Zeit sind solche Verzögerungen unentschuldbar. Die Menschen wollen sofort wissen, ob ihre persönlichen Daten gefährdet sind, nicht erst zwei Wochen später.

Welche Daten wurden kompromittiert

Also, was genau haben die Hacker erbeutet? Laut der Erklärung des Unternehmens und Insiderinformationen haben die Angreifer auf einen umfangreichen Datensatz zugegriffen. Dies ist weitaus ernster als ein einfaches Leck einer E-Mail-Liste. Hier ist eine Aufschlüsselung der kompromittierten Informationen:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Persönliche Identifikatoren: Vollständige Namen, E-Mail-Adressen und Mobiltelefonnummern. Dieses Trio ist ein Starterkit für jede Phishing-Kampagne.
  • Physische Adressen: Privat- und Arbeitsadressen, die Nutzer in der 7NOW-App gespeichert haben. Dies stellt nicht nur ein digitales, sondern auch ein potenzielles physisches Risiko dar.
  • Geburtsdaten: Ein Schlüsselelement bei Identitätsdiebstahl.
  • Gehashte Passwörter: Das Unternehmen gibt an, dass die Passwörter „gehasht“ wurden. Das bedeutet, sie wurden nicht im Klartext gespeichert, sondern mit einem mathematischen Algorithmus verschlüsselt. Das klingt zwar sicher, aber die Wirksamkeit hängt vollständig von der Stärke des Algorithmus ab. Wenn ein schwacher Algorithmus verwendet wurde oder die Nutzer einfache Passwörter wie „123456“ hatten, ist das Knacken dieser Passwörter für Angreifer eine leichte Übung.
  • Teilweise Zahlungsinformationen: Die letzten vier Ziffern von Kreditkarten, Ablaufdaten und der Kartentyp (z. B. Visa, Mastercard). 7-Eleven beeilte sich zu betonen, dass keine vollständigen Kreditkartennummern und CVV-Codes kompromittiert wurden. Das ist zwar eine kleine Erleichterung, aber selbst diese Teilinformationen können von Betrügern genutzt werden, um ihre Social-Engineering-Angriffe überzeugender zu gestalten.
  • Bestellverlauf: Details darüber, was Sie wann bestellt haben. Das mag harmlos erscheinen, aber ein Betrüger könnte es nutzen, um eine äußerst glaubwürdige gefälschte E-Mail zu verfassen, wie z.B. „Es gibt ein Problem mit Ihrer letzten Slurpee-Bestellung“.

Wie der Angriff geschah

7-Eleven hält sich mit Details zum Angriff sehr bedeckt. Aus der Cybersicherheits-Community hört man jedoch, dass es sich um einen klassischen Fall einer Kompromittierung durch einen Drittanbieter handelt. Anscheinend haben die Angreifer zuerst einen Marketing- und Datenanalyse-Partner von 7-Eleven gehackt. Dieser Partner besaß einen API-Schlüssel – stellen Sie ihn sich wie einen digitalen Schlüssel vor – der Zugriff auf die Datenbank der 7NOW-Anwendung gewährte.

APIs ermöglichen die Kommunikation zwischen verschiedenen Softwaresystemen. Wenn diese API schlecht gesichert ist oder übermäßige Berechtigungen hat, wird ein Einbruch bei einem Partner zu einem Einbruch beim Hauptunternehmen. Die Kette ist nur so stark wie ihr schwächstes Glied. Sobald die Angreifer diesen Schlüssel in die Hände bekamen, konnten sie wochenlang unbemerkt langsam Daten aus der Datenbank abziehen. Diese Art von Vorfall, bekannt als Lieferkettenangriff, wird immer häufiger und ist ein wiederkehrendes Thema in den Datenleck Nachrichten. Es ist eine weitere deutliche Mahnung, dass Unternehmen nicht nur ihre eigenen Festungen sichern müssen, sondern auch die aller ihrer Geschäftspartner.

Wer ist betroffen

Jeder, der die 7NOW-Liefer-App nutzt oder jemals genutzt hat, könnte betroffen sein. Das Leck scheint hauptsächlich Nutzer in Nordamerika und Teilen Asiens zu betreffen. Und hier ist ein entscheidender Punkt: Selbst wenn Sie die App von Ihrem Telefon gelöscht, aber Ihr Konto nicht formell gekündigt haben, befanden sich Ihre Daten wahrscheinlich immer noch auf den Servern von 7-Eleven, was Sie zu einem potenziellen Opfer macht. Das Löschen einer App ist nicht dasselbe wie das Löschen Ihres Kontos, ein Detail, das viele Nutzer übersehen. Das Unternehmen sagt, es werde die 185.000 betroffenen Nutzer direkt per E-Mail benachrichtigen. Aber seien Sie wachsam, während Sie auf diese Nachricht warten. Betrüger werden diese Gelegenheit sicher nutzen, um ihre eigenen gefälschten „7-Eleven Datenleck-Benachrichtigungen“ zu versenden.

Was Sie tun können

Was sollten Sie also jetzt tun? Keine Panik, aber handeln Sie methodisch. Hier sind Ihre nächsten Schritte:

1. Prüfen Sie Ihre Betroffenheit: Finden Sie zuerst heraus, ob Sie von diesem Leck betroffen sind. Sie müssen nicht auf eine E-Mail des Unternehmens warten. Sie können eine seriöse Datenleck Suche verwenden, um Ihre E-Mail-Adresse zu überprüfen. Diese Plattformen durchsuchen öffentlich gewordene Datenbanken und teilen Ihnen mit, ob Ihre Informationen kompromittiert wurden.

2. Ändern Sie Ihre Passwörter, aber klug: Wenn Sie Ihr 7NOW-Passwort auch auf anderen Websites (soziale Medien, E-Mail, Banking) verwendet haben, war das ein großer Fehler. Ändern Sie diese Passwörter sofort. Cyberkriminelle praktizieren „Credential Stuffing“, bei dem sie Anmeldedaten aus einem Leck nehmen und sie bei Hunderten anderer Dienste ausprobieren. Das funktioniert überraschend oft. Verwenden Sie für jedes Konto ein einzigartiges, komplexes Passwort. Ein Passwort-Manager macht dies erheblich einfacher.

3. Seien Sie wachsam gegenüber Phishing: Ihre E-Mail, Telefonnummer und sogar Ihr Bestellverlauf sind jetzt im Umlauf. Das bedeutet, Sie sind ein Hauptziel für hochgradig personalisierte und überzeugende Phishing-Angriffe. Seien Sie skeptisch bei jeder Nachricht mit Betreffzeilen wie „Fordern Sie Ihr kostenloses Geschenk von 7-Eleven an“ oder „Problem mit Ihrer Bestellung“. Vertrauen Sie keiner Nachricht, die nach Ihren Informationen fragt oder Sie zum Klicken auf einen Link auffordert. Denken Sie daran, 7-Eleven wird Sie niemals per E-Mail nach Ihrem Passwort oder Ihren vollständigen Kreditkartendaten fragen.

4. Überwachen Sie Ihre Finanzen: Auch wenn keine vollständigen Kreditkartennummern durchgesickert sind, lohnt es sich, wachsam zu sein. Überprüfen Sie regelmäßig Ihre Bank- und Kreditkartenabrechnungen. Wenn Sie eine kleine, unbekannte Abbuchung sehen, melden Sie diese sofort Ihrer Bank. Es könnte sich um eine Testabbuchung vor einer viel größeren betrügerischen Transaktion handeln.

Was das Unternehmen sagt

Die offizielle Erklärung von 7-Eleven ist voll von dem erwarteten Unternehmensjargon. Ein Sprecher sagte: „Die Sicherheit und der Schutz der Privatsphäre unserer Kunden haben für uns höchste Priorität. Nachdem wir von diesem Vorfall erfahren hatten, haben wir sofort Maßnahmen ergriffen, um die Situation einzudämmen und unsere betroffenen Kunden zu schützen.“ Das Unternehmen fügte hinzu, dass es allen betroffenen Nutzern ein Jahr lang kostenlosen Schutz vor Identitätsdiebstahl und Kreditüberwachungsdienste anbieten werde. Details darüber, welche Länder für diesen Dienst berechtigt sind oder wie man sich anmeldet, sind jedoch noch unklar. Es ist ein klassisches Drehbuch zur Schadensbegrenzung. Die Versprechungen sind da, aber die Zeit wird zeigen, wie schnell sie in konkrete Hilfe für die Opfer umgesetzt werden.

Quelle

https://www.securityweek.com/185000-likely-impacted-by-7-eleven-data-breach/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag 7-Eleven Datenleck betrifft 185.000 Personen Nächster Beitrag → Microsoft Defender wird gehackte Geräte automatisch isolieren

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.