PcComponentes wehrt sich gegen Vorwürfe eines Mega-Datenlecks

Der spanische Technologie-Händler PcComponentes bestreitet einen angeblichen Hack mit 16 Millionen gestohlenen Kundendatensätzen. Das Unternehmen spricht stattdessen von einem gezielten Credential-Stuffing-Angriff und hat umgehend schärfere Sicherheitsmaßnahmen eingeführt.

Die Lage eskalierte diese Woche, als ein Hacker mit dem Alias ‘daghetiaw’ in einem Forum behauptete, die Systeme des Online-Händlers geknackt zu haben. Er bot eine Datenprobe mit halber Million Einträgen an – angeblich mit Namen, Ausweisnummern, Adressen und Bestellhistorie. Die Meldung verbreitete sich rasch und verunsicherte Kunden.

Kein Einbruch, sondern gestohlene Logins

In einer offiziellen Stellungnahme widerspricht PcComponentes den Behauptungen entschieden. Eine eingehende Untersuchung habe keine Evidenz für einen Eindringling in die internen Datenbanken ergeben. Die genannte Zahl von 16 Millionen betroffenen Kunden sei „falsch“ – die Gesamtzahl aktiver Konten liege deutlich niedriger.

Das Unternehmen betont, dass sensible Finanzdaten nie in Gefahr waren. Passwörter oder vollständige Bankverbindungen werden nicht auf den Servern gespeichert. Stattdessen nutzt man sichere Token für Zahlungen. Die Analyse kommt zum Schluss: Es handelte sich um einen automatisierten Angriff mit gestohlenen Zugangsdaten von anderen Plattformen, nicht um einen direkten Bruch der eigenen Infrastruktur.

Passend zum Thema Passwort-Schutz: Viele Angriffe wie Credential Stuffing starten mit gestohlenen Logins – oft, weil Passwörter mehrfach verwendet werden oder das Smartphone nicht ausreichend geschützt ist. Ein kostenloser Praxis-Report erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Gerät: starke, einzigartige Passwörter, Passwortmanager, regelmäßige System- und App-Updates, prüfende App-Auswahl und 2FA-Checks. Schützen Sie Ihre Konten beim Online-Shopping und Mobile-Banking schon heute. Jetzt kostenloses Android-Sicherheitspaket anfordern

Die unterschätzte Gefahr: Wiederverwendete Passwörter

Credential Stuffing ist eine simple, aber effektive Hacker-Methode. Dabei werden gestohlene Login-Daten aus früheren Breaches bei anderen Diensten automatisiert auf verschiedenen Websites ausprobiert. Der Angriff funktioniert, weil viele Nutzer ein Passwort für mehrere Konten verwenden.

Laut Analysen der Threat-Intelligence-Firma Hudson Rock stammen die verwendeten Zugangsdaten wahrscheinlich von Computern, die mit Informationsdiebstahl-Malware infiziert waren. Einige Daten reichen bis 2020 zurück. Cyberkriminelle nutzen zunehmend alte, gestohlene Datensätze, um Angriffe zu inszenieren, die wie neue, großangelegte Lecks aussehen – und so erheblichen Imageschaden anrichten.

Neue Sicherheitspflicht für alle Kunden

Als Reaktion hat PcComponentes mehrere Sicherheitsupdates umgesetzt. Auf den Login-Seiten sind nun CAPTCHA-Abfragen aktiviert, und alle aktiven Sitzungen wurden ungültig gemacht. Die wichtigste Neuerung: Zwei-Faktor-Authentifizierung (2FA) ist jetzt für alle Konten verpflichtend.

Der Vorfall ist eine deutliche Warnung vor den Risiken der Passwort-Wiederverwendung. Sicherheitsexperten raten dringend zu einzigartigen, komplexen Passwörtern für jeden Dienst. Ein Passwortmanager kann dabei helfen. Alle Kunden von PcComponentes sollten sich umgehend einloggen, die 2FA aktivieren und prüfen, ob ihr Passwort auch anderswo im Einsatz ist.

PS: Ihr Smartphone ist oft das Tor zu E-Mail-, Shop- und Bezahldaten – hier setzen Angreifer an. Der kostenlose 5-Punkte-Ratgeber zeigt Schritt für Schritt, wie Sie Schadsoftware abwehren, sichere Login-Methoden einrichten und automatische Prüfungen aktivieren. Ideal, wenn Sie Online-Shops wie PcComponentes nutzen: So verhindern Sie, dass gestohlene Logins Ihre Konten gefährden. Gratis-Guide: 5 Schutzmaßnahmen für Android herunterladen