Bei Vorwerk gab es ein Datenleck, wie der Anbieter für Haushaltsgeräte mitteilte. Die Lücke betraf das Forum "rezeptwelt.de" des Thermomix-Herstellers und führte dazu, dass Unbekannte massenhaft Nutzerdaten erbeuten konnten. Die Daten stehen im Darknet zum Verkauf. Alle Betroffenen sind informiert, die Lücke ist geschlossen. Dennoch rät Vorwerk Rezeptwelt-Mitgliedern, vorsichtig zu sein: Es drohen weitere Angriffe.
Anzeige
Aus dem Thermomix-Rezeptforum wurden millionenfach Mitgliederdaten abgezogen und stehen nun im Darknet zum Verkauf. Im Datensatz sind die persönlichen Daten von über drei Millionen Rezeptwelt-Mitglieder enthalten, darunter E-Mail-Adressen, Telefonnummern, Adressen und Kochkenntnisse. Laut Vorwerk-Stellungnahme bestand die Lücke nur drei Tage – vom 30. Januar bis zum 3. Februar 2025. Der Zugriff habe zudem nicht auf Vorwerk-eigene Server stattgefunden, sondern bei einem externen Dienstleister.
Neben einer guten Million deutscher Opfer sind jeweils zwischen drei- und vierhunderttausend englisch-, spanisch-, französisch-, italienisch- und polnisch- sowie gut 150.000 portugiesischsprachige Nutzer betroffen. Das Rezeptwelt-Forum richtet sich an eine weltweite Nutzerschaft – auch Thermomix-Anwender aus Australien und Tschechien tummeln sich dort.
Vorwerk hat unmittelbar nach dem Vorfall reagiert und konnte ihn schnell eingrenzen. In Zusammenarbeit mit Sicherheitsexperten und Datenschützern hat das Unternehmen ausschließen können, dass weitere Systeme oder etwa der Online-Shop betroffen sind. Das Unternehmen mahnt zur Vorsicht: Mit den gestohlenen Daten könnten Kriminelle nun glaubwürdige Phishingangriffe gegen Rezeptwelt-Mitglieder starten. Die Aufsichtsbehörden hat Vorwerk ebenso informiert wie alle betroffenen Nutzer.
Unklar ist jedoch noch die konkrete Sicherheitslücke. Einige Hinweise im Testdatensatz deuten nach Ansicht des Autors darauf hin, dass die Angreifer mit Nutzerprivilegien in ein Staging-System eingedrungen sind und dort Daten, etwa über ein offenes API, abgezogen haben. Gegen einen Zugriff auf die Forumsdatenbank oder gar einen Servereinbruch spricht, dass in den Datensätzen keine Passwort-Hashes enthalten sind. Da diese den Verkaufswert erheblich steigern würden, scheint es unwahrscheinlich, dass der oder die Angreifer sie zurückhalten. Wir haben Vorwerk um eine Stellungnahme zur Art des Angriffs gebeten und werden diese Meldung gegebenenfalls aktualisieren.
Der oder die Angreifer bieten die Daten in einem einschlägigen Darknet-Forum für 1.500 US-Dollar zum Verkauf an, zeigen sich beim Preis aber verhandlungsbereit. Vermutlich vor allem, weil die Kronjuwelen eines Datenlecks – gehashte oder Klartextpasswörter – nicht Teil des Angebots sind. Wie für derlei Offerten üblich, stehen einige Demo-Datensätze zur Verfügung, die beim ersten Überfliegen authentisch aussehen.
(Bild: heise security / cku)
Auch bei "Have I been pwned" (HIBP) sind die Daten zwischenzeitlich gelandet. Auf der Website können Internetnutzer anhand ihrer E-Mail-Adresse überprüfen, ob sie von Datenlecks betroffen sind – nun also auch Rezeptewelt-Mitglieder. Wie die Betreiber von HIBP in einer Notiz schreiben, hat ihnen eine Quelle namens "ayame" die Datensätze zur Verfügung gestellt. Dieses Pseudonym gab auch der Forumsnutzer an, der die Daten im Darknet zum Verkauf anbot. Die Beschreibung des bei HIBP hinterlegten Datensatzes deckt sich zudem mit dem Darknet-Posting des Diebes. Da die Betreiber von HIBP stichprobenartig prüfen, ob ihnen überlassene Datensätze echt sind, dürfte es sich um reale Rezeptwelt-Nutzerdaten handeln.
Brisante Datenlecks sind in letzter Zeit massenhaft vorgekommen. Alleine in der letzten Januar- und ersten Februarwoche 2025 berichteten wir über Sicherheitsprobleme bei Reha-Kliniken und Legaltechs; Beteiligte sprechen sogar von einem "Gewöhnungseffekt", der sie abstumpfen lasse. Auch in der 127. Folge des heise-Datenschutzpodcasts "Auslegungssache" geht es um Datenlecks und deren Behandlung durch Unternehmen und Aufsichtsbehörden.