Die niederländische Kosmetikkette Rituals hat eine Sicherheitsverletzung eingeräumt, bei der personenbezogene Daten von Mitgliedern ihres Treueprogramms MyRituals offengelegt wurden. Zu den kompromittierten Informationen gehören Namen, Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und Geschlecht. Das Unternehmen versichert, dass Passwörter und Zahlungsdaten sicher seien, hat jedoch die genaue Anzahl der Betroffenen unter seinen 41 Millionen Nutzern nicht bekannt gegeben.
Der Angriff trifft die Treue-Datenbank ohne vollständige Verschlüsselung 🔓
Die Sicherheitsverletzung bei Rituals scheint durch einen unbefugten Zugriff auf die Server entstanden zu sein, die die Profile der Mitglieder speichern. Obwohl das Unternehmen angibt, dass die Passwörter gehasht und die Zahlungen nicht kompromittiert wurden, deutet die Offenlegung von Daten wie Postadressen und Geburtsdaten darauf hin, dass die Verschlüsselungsschicht nicht alle persönlichen Informationen abdeckte. Diese Art von Vorfall tritt häufig aufgrund von Schwachstellen in APIs oder fehlender Segmentierung sensibler Daten auf, wodurch Nutzer gezielten Phishing-Kampagnen ausgesetzt sind.
Zumindest haben sie das kostenlose Kulturbeutel-Set nicht mitgenommen 😅
Rituals versichert uns, dass Passwörter und Zahlungsdaten sicher sind, was eine Erleichterung ist. Denn seien wir ehrlich: Das Schlimmste ist nicht, dass sie dein Geburtsdatum und Geschlecht kennen, sondern dass sie herausfinden, dass du immer noch dasselbe Passwort wie mit 20 Jahren verwendest. Jetzt fehlt nur noch, dass die Hacker anfangen, die Treuepunkte für Duftkerzen einzulösen, bevor du es tun kannst.