Die Datenpanne bei Rewe weitet sich aus: Hacker veröffentlichen im Internet E-Mail-Adressen und Passwörter der Tauschbörsennutzer. Auch die Homepage des Kölner Handelskonzerns wurde zwischenzeitlich gekapert.  

Nach dem Hackerangriff auf die Sammelbild-Tauschbörsen des Handelskonzerns Rewe haben Unbekannte Zehntausende Kundendaten im Internet veröffentlicht.

"Es wurde gestern eine signifikant hohe Anzahl unserer Daten ins Netz gestellt", sagte ein Rewe-Sprecher am Mittwoch in Köln und bestätigte einen Bericht von "Spiegel Online".

45.000 Adressen und Passwörter

Es handele sich um E-Mail-Adressen und dazu gehörende Passwörter von bis zu 45.000 Kunden. Diese hatten sich mit den Daten auf einer Rewe-Seite angemeldet, um Tier- oder Fußballbilder zu tauschen. Zunächst hatte es geheißen, es sei unklar, ob die Daten kopiert worden seien.

Die Internet-Tauschbörse wurde nach Unternehmensangaben von einem externen Dienstleister entwickelt und betrieben. Dieser habe die Anmeldedaten unverschlüsselt gespeichert, sagte der Rewe-Sprecher.

Die Computerhacker hatten zwei Rewe-Kundendatenbanken geknackt. Die Sicherheitslücke hatte nach Angaben des Sprechers etwa zwei Wochen lang bestanden, ehe sie am vergangenen Freitag bemerkt und behoben worden sei. Zunächst hatte es geheißen, es sei unklar, ob die Daten kopiert wurden.

Warnung aus der Hackerszene an Rewe

Ein Tippgeber aus der Szene hatte das Unternehmen auf das Leck hingewiesen. Sensible Daten wie Bankkonten oder Kreditkartennummern waren laut Rewe nicht betroffen. Das Unternehmen hatte die Öffentlichkeit am Sonntagabend über die Panne informiert und Betroffenen geraten, ihre Passwörter zu ändern.

Da Internetnutzer oftmals dieselben Zugangsdaten für verschiedene Accounts nutzen, gewinnt der Angriff damit an Brisanz. Am Dienstag Nachmittag war zudem die Hompage www.rewe.de zwischenzeitlich nicht zu erreichen, stattdessen prangte dort die Botschaft "Ich kaufe meinen Eistee demnächst bei Aldi - Schwachkoeppe". Keine fünf Minuten will der Hacker nach eigenen Angaben gebraucht haben, um den Server zu kapern.

dpa, DH