Lidl hat Kunden vor einem Sicherheitsvorfall gewarnt, bei dem persönliche Informationen, die von einem externen Dienstleister gespeichert wurden, offengelegt wurden, was Bedenken auslöste, nachdem erste Berichte darauf hindeuteten, dass Bankdaten möglicherweise gefährdet waren. Der Einzelhändler erklärte, dass der Datenverstoß Daten betraf, die mit seinem Online-Shop verknüpft sind, betonte jedoch, dass Zahlungsinformationen, Bankkontodaten, Passwörter und Lieferadressen nicht kompromittiert wurden, da sie getrennt von den betroffenen Systemen gespeichert werden.
Laut Lidl erhielten nicht autorisierte Parteien Zugang zu Kundendaten, die mit seinem Webshop verbunden sind. Die offengelegten Daten umfassen Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Kundenidentifikationsnummern. Das Unternehmen hat nicht bekannt gegeben, wie viele Kunden betroffen waren oder wie die Angreifer Zugang zu den Daten erhielten.
Der Händler sagte, es gebe derzeit keine Beweise dafür, dass die gestohlenen Informationen missbraucht wurden. Dennoch wurde den Kunden geraten, wachsam zu bleiben bei Phishing-E-Mails, betrügerischen Telefonaten oder Textnachrichten, die versuchen könnten, die offengelegten persönlichen Daten durch Imitation von Lidl oder anderen vertrauenswürdigen Organisationen auszunutzen.
Lidl informierte die betroffenen Kunden per E-Mail, nachdem er den Vorfall entdeckt hatte, und meldete den Verstoß der niederländischen Datenschutzbehörde, wie es die geltenden Datenschutzbestimmungen vorschreiben. Das Unternehmen hat nicht mitgeteilt, ob die Strafverfolgungsbehörden den Vorfall untersuchen oder ob die Angreifer ein Lösegeld gefordert haben.
Obwohl finanzielle Informationen nicht offengelegt wurden, weisen Cybersicherheitsexperten darauf hin, dass Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten für Cyberkriminelle dennoch wertvoll sein können. Solche Informationen werden häufig verwendet, um überzeugende Phishing-Kampagnen zu erstellen oder Identitätsbetrug zu unterstützen, wenn sie mit Daten aus anderen Sicherheitsverletzungen kombiniert werden. Dieses Risiko besteht selbst dann, wenn Bankdaten geschützt bleiben.
Lidl hat den beteiligten externen Dienstanbieter nicht identifiziert oder offengelegt, welche zusätzlichen Sicherheitsmaßnahmen nach dem Einbruch ergriffen wurden. Das Unternehmen hat auch nicht bestätigt, ob die kompromittierten Daten in Cybercrime-Foren aufgetaucht sind oder online zum Verkauf angeboten wurden. Zu diesem Zeitpunkt gibt es keine öffentlichen Beweise, die darauf hindeuten, dass die gestohlenen Kundendaten von den Angreifern verbreitet wurden.
