Nach dem Einbruch beim Mailing-Dienstleister Mailchimp in der vergangenen Woche fangen betroffene Kundenunternehmen an, ihrerseits betroffene Kunden zu informieren. Dazu gehören auch bekanntere wie Statista, das den eigenen Angaben nach immerhin mehr als zwei Millionen registrierte Kunden hat, oder WooCommerce.

Mailchimp-Kunden-Kunden: Betroffene Daten

Für die Nutzung von Mailings sind normalerweise lediglich E-Mail-Adressen sowie Namen nötig. Entsprechend formuliert Statista auch in der Warnungs-E-Mail an die Kunden: "Wir müssen Sie heute aufgrund eines datenschutzrechtlichen Vorfalls bei unserem E-Mail-Dienstleister MailChimp, einem der Marktführer in diesem Bereich, kontaktieren. Unglücklicherweise konnte im Rahmen einer Sicherheitslücke ein unbefugter Dritter Daten von Statista Nutzern herunterladen. Das gleiche Problem trat bei 132 weiteren Kunden des Dienstleisters auf."

Statista bedaure, den Kunden mitteilen zu müssen, "dass auch Ihre Daten betroffen sind (inkl. Name und E-Mail-Adresse). Bitte beachten Sie, dass keine Passwortinformationen offengelegt wurden und Ihr Statista-Konto von diesem Vorfall nicht betroffen ist."

Die Mail von WooCommerce an dessen Kunden erklärt, dass bei dem Mailchimp-Einbruch einige der mit WooCommerce geteilten Informationen betroffen sein könnten. Darunter der Name, die URL des Online-Shops, Adresse sowie E-Mail-Adresse. "Keine Zahlungsdaten, Passwörter, oder andere sensible Informationen sind Teil des Datenlecks", ergänzt das Unternehmen.

Wie bereits vergangene Woche bekannt wurde, ist auch die Kryptowährungs-Plattform Solana von dem jüngsten Mailchimp-Einbruch betroffen. Dort seien neben Name und E-Mail-Adresse "Inter Alia" und Telegram-Nutzernamen vom Datenleck betroffen, sofern Kunden diese angegeben hätten.

Die Blockchain-Firma Yuga Labs, die durch die Bored Ape Yacht Club NFTs bekannt wurde, hat es ebenfalls erwischt. Da Yuga Labs den Mailingdienst nur selten für Kundenkommunikationen genutzt hätten, untersuchen sie noch, welche Daten betroffen sein könnten, und wollen die Kunden individuell kontaktieren.

Bei dem letzten Vorfall bei Mailchimp waren vor allem Kryptowährungs-Dienstleister und Blockchain-Anbieter betroffen. Die dabei abgezogenen Kunden-Mailadressen haben Cyberkriminelle dann in Phishing-Mails missbraucht und versucht, an deren Krypto-Guthaben zu gelangen. Zum Teil wurde etwa manipulierte Software als benötigtes Update angeboten, mit der die Drahtzieher dann die Krypto-Wallets der Opfer leeren konnten.

Auch beim jetzigen Vorfall müssen sich Kunden, die eine solche Warnungs-Mail von ihren Dienstleistern erhalten, vor gezieltem Phishing in Acht nehmen.

