10-6-2016 Gedruckt am 29-05-2017 aus www.monitor.co.at/index.cfm/storyid/16857

Userdaten bei Hipp geklaut

Datenleck & Babybrei

Babnahrungs-Hersteller Hipp wurde Opfer eines Hackerangriffs. Betroffen ist das Bonus-Programm „Mein Baby Club“. Namen, (E-Mail-)Adressen und Passwörter wurden geklaut. Betroffene wurden erst jetzt informiert.

Vielleicht sollte man auch den Datenschutz ein bisschen weiter oben ansiedeln. Bild: Screeenshot www.hipp.de

Bereits Anfang Mai sollen „unter Einsatz massiver krimineller Energie“ (O-Ton Hipp) die Daten entwendet worden sein. Wie viele es genau sind, kann (oder will) Hipp nicht verraten. Ebenso hielt man sich mit Informationen für die Betroffenen vornehm zurück: Erst einen Monat nach Bekanntwerden des Datenlecks wurden die Kunden nun per E-Mail (das vollständige Schreiben finden Sie unten) informiert.
 
Wobei „informiert“ vermutlich das falsche Wort ist. Abgesehen vom Hinweis, dass der Server geknackt, die Schwachstelle zwischenzeitlich aber geschlossen sei, begnügt man sich damit, den Kunden Ratschläge für die Wahl eines sicheren Passwortes zu erteilen. Zielführender wäre es freilich gewesen, wenn man sich stattdessen über die korrekte Absicherung der eigenen Server gekümmert hätte.
 
Hipp gibt übrigens an, die Passwörter seien "vollständig verschlüsselt" gewesen – ohne allerdings genauer darauf einzugehen, was damit gemeint ist. Überhaupt bekleckert sich der Hersteller derzeit nicht unbedingt mit Ruhm was die Kommunikation angeht. Beispielsweise blieben Fragen nach der Anzahl der Betroffenen User unbeantwortet. Aufgrund der recht heftigen Reaktionen in den Sozialen Medien, dürfte es aber doch eine erkleckliche Anzahl sein.
 
+++
 
Hier das Schreiben an die Kunden im Original. Derselbe Text wurde übrigens auch als offizielle Stellungnahme gegenüber den Medien kommuniziert:
 
 
Lieber xxx,

für uns haben Ihre Daten einen besonderen Stellenwert. Um die Sicherheit der Daten zu gewährleisten, findet neben vielen anderen Maßnahmen regelmäßig eine umfassende Sicherheits-Prüfung des Systems und der Server-Infrastruktur auch über einen zertifizierten externen Dienstleister statt.

Aufgrund laufender Kontrollen sind uns Anfang Mai 2016 Unstimmigkeiten aufgefallen. Daraufhin haben wir sofort eine tiefergreifende Analyse des Systems durchgeführt und festgestellt, dass sich eine Person aufgrund eines gezielten Serverangriffs unberechtigten Zugriff auf Daten verschafft hat, die in der Vergangenheit auf der Webseite des HiPP Mein BabyClub eingetragen wurden. Davon können beispielsweise Namen, Geburtsdaten, E-Mail Adressen, vollständig verschlüsselte Passwörter oder postalische Adressen betroffen sein.

Der Zugriffsweg, der unter Einsatz massiver krimineller Energie geschaffen wurde, ist umgehend nach Feststellung des Angriffs identifiziert und geschlossen worden.

Bitte beachten Sie stets genau die Absenderadresse von eingehenden E-Mails und diese generellen Hinweise der Initiative „Saferinternet.at“.

Die Absenderadressen von offiziellen E-Mails der Firma HiPP haben wir auf dieser Seite nochmal zusammengefasst: www.hipp.at/e-mails

Ergänzend zur oben genannten Empfehlung möchten wir darauf hinweisen, dass Sie generell im Internet nur komplexe Kennwörter verwenden sollten und diese auch in regelmäßigen Abständen wechseln.
Für den Fall, dass Sie ein sehr einfaches Passwort gewählt haben, empfehlen wir Ihnen dieses aktuelle Passwort zu ändern.
Wenn Sie das gleiche Passwort auch für andere Websites nutzen, raten wir Ihnen sicherheitshalber auch dort das Passwort zu ändern.

Ihr HiPP-Passwort kann über diese Seite direkt angepasst werden: www.hipp.at/aktualisierung

Bei Fragen stehen wir Ihnen zur Verfügung:
Telefonnummer: 0080022294477
datenschutz-team@hipp.at


Wir bitten für die entstehenden Unannehmlichkeiten um Verständnis.

Mit freundlichen Grüßen,
HiPP Datenschutz-Team