Weltweit größter Passwort-Leak – 10,000-facher Weckruf für E-Commerce-Unternehmen

Passwort-Leak – 10,000-facher Weckruf für E-Commerce-Unternehmen
Leitfäden , , , , ,

Weltweit größter Passwort-Leak – 10,000-facher Weckruf für E-Commerce-Unternehmen

Passwort-Leak – 10,000-facher Weckruf für E-Commerce-Unternehmen

Ein neuer Mega-Datenleck erschüttert das Internet: Wie mehrere Quellen, darunter Focus Online und Cybernews, berichten, wurden über 10 Milliarden eindeutige Kombinationen aus E-Mail-Adressen und Passwörtern in einem gigantischen Leak veröffentlicht. Es handelt sich laut Cybernews um die bisher größte bekannte Sammlung gestohlener Zugangsdaten, basierend auf Daten aus früheren Hacks, die in einer Datei namens „rockyou2024.txt“ zusammengetragen wurden.

Was bedeutet das für den E-Commerce?

Für Mitglieder des Bundesverbands E-Commerce e.V. (BuVeC) und die gesamte Online-Handelsbranche ist dies ein kritisches Alarmsignal. Unternehmen, deren Mitarbeitende oder Systemzugänge betroffen sind, laufen Gefahr, Opfer von Credential-Stuffing-Angriffen, Identitätsdiebstahl oder Systeminfiltrationen zu werden.

Besonders betroffen sind häufig genutzte Dienste wie Gmail, Amazon, LinkedIn, Dropbox oder auch Admin-Zugänge zu Shop-Backends und ERP-Systemen – darunter viele Tools aus dem täglichen E-Commerce-Betrieb.

BuVeC Handlungsempfehlungen für Unternehmen und Mitarbeitende:

1. Sofortige Passwortüberprüfung:

  • Prüfen Sie über Dienste wie haveibeenpwned.com oder den Cybernews Leak Checker ob Ihre geschäftlichen oder privaten E-Mail-Adressen betroffen sind.
  • Ändern Sie alle betroffenen Passwörter sofort – insbesondere für zentrale Dienste wie E-Mail, Shop-Backend, Cloud-Zugänge, CMS, CRM und ERP.

2. Zwei-Faktor-Authentifizierung (2FA) aktivieren:

  • Aktivieren Sie 2FA überall dort, wo es möglich ist – insbesondere bei:
    • Gmail/Google-Accounts
    • Amazon Seller Central
    • JTL, Shopify, WooCommerce, etc.
    • Microsoft 365 / Outlook
  • Vermeiden Sie die ausschließliche Nutzung von SMS als 2FA – setzen Sie auf Authenticator-Apps wie Microsoft Authenticator, Google Authenticator oder Authy.
  • Zusätzliche Sicherheit: Wo möglich, richten Sie eine zweite 2FA-Methode (z. B. SMS + App) ein.

3. Backup- und Wiederherstellungsoptionen prüfen:

  • Stellen Sie sicher, dass Wiederherstellungs-E-Mail-Adressen aktuell und sicher sind.
  • Hinterlegen Sie Backup-Codes für Ihre Authenticator-Anwendungen.
  • Dokumentieren Sie den Zugriff auf unternehmenskritische Accounts intern.

4. Schulung & Awareness im Team:

  • Informieren Sie Mitarbeitende über den Vorfall.
  • Führen Sie ein Awareness-Training zu sicheren Passwörtern, 2FA und Phishing-Prävention durch.
  • Vermeiden Sie Wiederverwendung von Passwörtern auf mehreren Plattformen.

5. Private Accounts nicht vergessen!

  • Viele nutzen noch alte Gmail-, Yahoo- oder GMX-Accounts ohne Zwei-Wege-Schutz. Aktivieren Sie unbedingt 2FA.
  • Überprüfen Sie, ob Ihr privater E-Mail-Zugang als Wiederherstellung für Firmenzugänge hinterlegt ist – das kann ein Risiko darstellen.

Fazit:

Der Vorfall zeigt einmal mehr, wie wichtig konsequente Sicherheitsmaßnahmen im digitalen Alltag sind. Der BuVeC ruft alle Mitglieder und Akteure im Onlinehandel auf, proaktiv zu handeln, bevor Angreifer automatisierte Login-Versuche starten.

Bleiben Sie sicher – und informieren Sie Ihr gesamtes Team!

Share this content:

Schlagwort