Condé Nast: Millionen Kundendaten nach Hackerangriff geleakt

Ein massiver Datenleck beim Technologiemagazin Wired hat sich zu einer umfassenden Sicherheitskrise für den Medienkonzern Condé Nast ausgeweitet. Rund 2,3 Millionen Abonnenten sind betroffen – der Angreifer droht mit der Veröffentlichung von 40 Millionen weiteren Datensätzen.

Der Angriff wurde auf dem Hackerforum “Breach Stars” publik, wo eine Person unter dem Pseudonym “Lovely” eine Datenbank mit 2,3 Millionen Einträgen veröffentlichte. Cybersecurity-Experten haben die Echtheit bestätigt. Die geleakten JSON-Dateien enthalten E-Mail-Adressen aller betroffenen Nutzer. Besonders brisant: Eine große Teilmenge umfasst hochsensible persönliche Daten. Fast 286.000 vollständige Namen, über 100.000 physische Postadressen und etwa 32.000 Telefonnummern sind im Umlauf.

Die Daten sind erschreckend aktuell – einige Aktivitätsstempel reichen bis zum 8. September 2025. Diese “Frische” deutet darauf hin, dass der unbefugte Zugriff bis vor kurzem bestand. Passwörter oder Zahlungsdaten scheinen in diesem ersten Datenpaket nicht enthalten zu sein. Doch die freigegebenen Adressen und Kontaktdaten bergen ein enormes Risiko für gezielte Phishing-Angriffe und Social Engineering.

Gefälschte E‑Mails und personalisierte Social‑Engineering‑Versuche sind die direkte Folge solcher Leaks. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie CEO‑Fraud, manipulierte Absender und zielgerichtete Betrugs‑Mails erkennen und abwehren. Mit Checklisten, konkreten Beispiel‑Mails und sofort einsetzbaren Schutzmaßnahmen – ideal für Leser, die jetzt schnell handeln möchten. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Schwachstellen und verpasste Warnsignale

Die Sicherheitslücke entstand offenbar nicht durch einen ausgeklügelten Hack, sondern durch fundamentale Fehler in Condé Nasts Web-Infrastruktur. Sicherheitsforscher machen Insecure Direct Object Reference (IDOR)-Schwachstellen und mangelhafte Zugriffskontrollen im zentralen Identitätsmanagementsystem des Konzerns verantwortlich. Diese Lücken ermöglichten es einem Unbefugten, systematisch Nutzerprofile abzugreifen, indem sequentielle Nutzer-IDs in Backend-Anfragen manipuliert wurden.

Noch schwerer wiegt der Vorwurf, der Konzern habe Warnungen ignoriert. Der Angreifer behauptet in Forum-Posts, zunächst als Sicherheitsforscher agiert zu haben. Im November 2025 habe man Condé Nast kontaktiert, um die Schwachstellen zu melden. Auf mehrere Benachrichtigungen über einen Monat hinweg sei keine Reaktion erfolgt. Die Veröffentlichung der Wired-Datenbank sei daher eine direkte Vergeltung für diese mangelnde Responsivität – eine Strafe für die angebliche Nachlässigkeit im Umgang mit Nutzerdaten.

Drohende Gefahr für 40 Millionen Nutzer

Die 2,3 Millionen Wired-Datensätze könnten nur die Spitze des Eisbergs sein. Der Angreifer droht explizit mit der Veröffentlichung eines weit größeren Datensatzes mit bis zu 40 Millionen Nutzerprofilen aus Condé Nasts gesamten Portfolio. Da das Unternehmen eine gemeinsame Authentifizierungsinfrastruktur für alle seine Publikationen nutzt – darunter Vogue, The New Yorker, Vanity Fair, GQ und Architectural Digest – haben Schwachstellen in einem System wahrscheinlich die zentrale Nutzerdatenbank exponiert.

Der Angreifer beansprucht, fast 9,5 Millionen “NIL”-Datensätze und verschiedene internationale Segmente zu besitzen. Diese zusätzlichen Daten sollen in den kommenden Wochen veröffentlicht werden. Condé Nast hat bis Montagvormittag keine offizielle Stellungnahme zu den konkreten Vorwürfen oder dem möglichen Gesamtschaden abgegeben. Millionen Abonnenten des Mediennetzwerks bleiben damit im Ungewissen.

Branchenweite Implikationen und Risiken

Der Vorfall beleuchtet ein grundlegendes Versagen im Unternehmensschutz: Die Vernachlässigung verantwortungsvoller Meldewege. Branchenanalysten betonen, dass IDOR-Schwachstellen vergleichsweise einfach zu erkennen und zu beheben sind. Dass sie bei einer technologieaffinen Marke wie Wired in solchem Ausmaß ausgenutzt wurden, ist besonders peinlich. Der Übergang von einer möglichen “White Hat”-Meldung zu einem böswilligen Leak unterstreicht die instabile Natur der Beziehung zwischen unabhängigen Forschern und Unternehmenssicherheitsteams.

Der Vorfall zeigt auch die Risiken zentralisierter Identitätsplattformen. Während Single Sign-On (SSO)-Systeme Nutzern Komfort und Verlagen Effizienz bieten, schaffen sie einen Single Point of Failure. Eine Schwachstelle im zentralen “Condé Nast ID”-System umgeht die Sicherheitsperimeter aller einzelnen Marken-Websites. Angreifer können so Daten horizontal über das gesamte Unternehmensportfolio abgreifen. Besonders besorgniserregend sind die exponierten physischen Adressen. Sie erhöhen das Risiko von digitaler Belästigung zu echten Sicherheitsbedrohungen wie Doxxing.

Was Nutzer jetzt tun sollten

Nutzer aller Condé Nast-Publikationen sollten sich auf gezielte Phishing-Versuche einstellen. Da die geleakten Daten gültige Namen und Adressen enthalten, können Kriminelle überzeugende E-Mails erstellen, die scheinbar von Wired oder Schwestermagazinen stammen. Sicherheitsexperten raten dringend:

• Multi-Faktor-Authentifizierung (MFA) für alle relevanten Konten aktivieren
• Posteingänge auf offizielle Kommunikation zum Datenleck überwachen
• Bei verdächtigen E-Mails besondere Vorsicht walten lassen

Regulatorische Konsequenzen sind wahrscheinlich. Die Offenlegung von 2,3 Millionen Nutzerdaten dürfte Meldepflichten nach der EU-Datenschutz-Grundverordnung (DSGVO) und verschiedenen US-Bundesstaatsgesetzen auslösen. Ob Condé Nast die zugrundeliegenden Schwachstellen inzwischen geschlossen hat, bleibt unklar – solange der Angreifer mit weiteren Leaks droht.

PS: Wenn Namen und Postadressen im Netz stehen, reichen allgemeine Hinweise oft nicht aus. Das kostenlose Anti‑Phishing‑Paket bietet praxisnahe Prüflisten und Vorlagen, mit denen Sie manipulierte Absender, personalisierte Phishing‑Mails und CEO‑Fraud in wenigen Schritten identifizieren und intern melden können. Schützen Sie Konten und Mitarbeiter sofort mit konkreten Maßnahmen. Jetzt kostenloses Anti‑Phishing‑Paket anfordern