Die persönlichen Daten Tausender Nutzer des Lebensmittellieferdienstes Instacart werden im Dark Web für rund 2 Euro pro Kunde verkauft. Laut einem Bericht von BuzzFeed News umfassen diese Daten die Namen, die letzten vier Ziffern von Kreditkartennummern und den Bestellverlauf von Nutzern des Dienstes und sogar von Kunden, die den Dienst kürzlich genutzt haben. Letzten Mittwoch verkauften Verkäufer in zwei Dark-Web-Shops Informationen über die Benutzer von scheinbar 278,531 Konten. Bei einigen dieser Konten handelt es sich jedoch möglicherweise um Duplikate oder sie sind nicht echt. Instacart hat seit April dieses Jahres Millionen von Kunden in den USA und Kanada, da immer mehr Menschen auf Lebensmittellieferungen zurückgreifen, um während der Pandemie den Gang in den Supermarkt zu vermeiden.
Es ist keine Datenverletzung
In einem auf seiner Website veröffentlichten Sicherheitsupdate erklärte Instacart, dass Credential Stuffing schuld sei und dass seine Plattform nicht kompromittiert oder verletzt worden sei, und sagte: „Unsere Teams haben rund um die Uhr daran gearbeitet, schnell die Gültigkeit von Berichten im Zusammenhang mit der Website-Sicherheit festzustellen.“ und bisher hat unsere Untersuchung gezeigt, dass die Instacart-Plattform weder kompromittiert noch gehackt wurde.“ Basierend auf der Einschätzung unseres Teams glauben wir, dass es sich hierbei um das sogenannte Credential Stuffing handelt, eine Aktivität, die im Web auftritt, wenn eine Person dieselben Anmeldeinformationen verwendet. Melden Sie sich bei verschiedenen Websites und Apps an. „Credential Stuffing ist eine Taktik, die häufig von Cyberkriminellen eingesetzt wird, die Benutzernamen und Passwörter aus früheren Datenschutzverletzungen verwenden, um auf Benutzerkonten bei anderen Diensten zuzugreifen. Es erscheint jedoch plausibel, dass Hunderttausende Instacart-Kunden auf mehreren Websites dieselben Passwörter verwenden.“ Um seine Benutzer zu schützen, benachrichtigt Instacart betroffene Kunden, macht ihre alten Passwörter ungültig und empfiehlt ihnen, ihr Passwort als zusätzliche Sicherheitsmaßnahme zurückzusetzen. Über BuzzFeed News