Auf einen Blick
- Technische Fehlfunktion bei Digitec Galaxus: Kundendaten kurzzeitig sichtbar
- Betroffene Konten gesperrt, Passwörter müssen geändert werden
- Weniger als 0,06 Prozent aller Login-Versuche zwischen Sommer 2024 und Januar 2025 betroffen
Eine «technische Fehlfunktion» beim Onlinehändler Digitec Galaxus führte dazu, dass Benutzernamen und Passwörter von Kunden im Klartext in der Browser-Adresszeile erschienen. Der Fehler betraf nach Angaben der Firma weniger als 0,06 Prozent aller Login-Versuche zwischen Sommer 2024 und Januar 2025. Betroffen waren ausschliesslich Nutzerinnen und Nutzer, die sich direkt über die Website einloggten.
«Es sind keine weiteren Kundendaten betroffen und es gab kein Datenleck», betont ein Sprecher des Unternehmens auf Anfrage. Die Schwachstelle wurde Ende Januar 2025 bei internen Tests entdeckt und danach behoben.
Das müssen Betroffene tun
Das Risiko eines Missbrauchs schätzen IT-Sicherheitsexperten des Unternehmens als gering ein. Kritisch könnte die Situation dennoch werden, wenn Unbefugte Zugriff auf betroffene Geräte erlangen – etwa durch Schadsoftware. Browser können nämlich Daten aus der Adresszeile speichern.
Als Reaktion hat Digitec Galaxus vorsorglich die Passwörter aller betroffenen Konten gesperrt. Die Betroffenen wurden am 3. Februar um 13 Uhr per E-Mail informiert und müssen bei der nächsten Anmeldung ein neues Passwort setzen.
Der Onlinehändler empfiehlt den betroffenen Kundinnen und Kunden drei zusätzliche Sicherheitsmassnahmen: Sie sollen ihren Browserverlauf löschen, gespeicherte Login-Seiten aus den Favoriten entfernen und – falls das gleiche Passwort auf anderen Websites verwendet wurde – es dort ebenfalls ändern.
Die genaue Ursache der Panne hat das Unternehmen nicht offengelegt.