Was ist das Napoleon Perdis Datenleck?

Ein Bedrohungsakteur mit dem Alias „2019“ behauptet, eine Datenbank mit mehr als 339.000 Kunden-Datensätzen von Napoleon Perdis geleakt zu haben, doch das Unternehmen hat das Leck noch nicht unabhängig bestätigt.

Welche Arten personenbezogener Daten wurden Berichten zufolge offengelegt?

Die geleakten Datensätze enthalten angeblich Namen, E-Mail-Adressen, Telefonnummern, Privat- und Lieferadressen, Daten zu Kundenbindungsprogrammen und Informationen zu den Gesamtausgaben.

Wie viele Personen sind möglicherweise betroffen?

Ungefähr 339.100 Personen, überwiegend australische Verbraucher, die bei Napoleon Perdis im Geschäft oder online eingekauft haben, sind potenziell betroffen.

Warum macht die Offenlegung von Kundenbindungs- und Ausgabedaten dieses Leck schwerwiegender?

Sie erlaubt es Angreifern, hochwertige Kunden zu profilieren und Prioritäten zu setzen, um überzeugende Phishing-Kampagnen, betrügerische Rückerstattungsbetrügereien und gezielte Angriffe durchzuführen. Zudem ist die Haltbarkeit dieser Informationen im Vergleich zu Passwörtern oder Kreditkartennummern lang.

Welche Risiken bergen die offengelegten Privatadressen und Telefonnummern?

Privatadressen und Telefonnummern können für physische Annäherungen, SIM-Swapping-Angriffe, die die SMS-basierte Zwei-Faktor-Authentifizierung umgehen, und Vishing-Betrug (Voice Phishing) genutzt werden.

Napoleon Perdis Datenleck: 339.000 australische Kundendaten geleakt

Ein Bedrohungsakteur mit dem Alias „2019“ hat sich zu einem Leak einer Datenbank mit mehr als 339.000 Kunden-Datensätzen bekannt, die zu Napoleon Perdis, der australischen Luxuskosmetikmarke, gehören. Der mutmaßliche Verstoß, der vom Unternehmen noch nicht unabhängig bestätigt wurde, soll Namen, E-Mail-Adressen, Telefonnummern sowie Privat- und Lieferadressen enthalten. Sollte sich dies bestätigen, wäre es einer der bedeutenderen Datenabflüsse im australischen Einzelhandel mit Auswirkungen auf australische Verbraucher in jüngerer Zeit, und die Art der betroffenen Daten macht ihn besonders gefährlich.

Welche Daten offengelegt wurden und wer gefährdet ist

Der behauptete Datensatz geht weit über die Grundlagen hinaus. Neben den Kontaktdaten sollen die geleakten Datensätze Informationen zu Kundenbindungsprogrammen und Gesamtausgaben enthalten. Diese Kombination ist bedeutsam. Ein vollständiger Name zusammen mit Privatadresse, Telefonnummer und E-Mail reicht aus, um überzeugende Identitätstäuschungsangriffe zu starten. Kommen Kaufhistorie und Kundenstatus hinzu, verfügen Angreifer über ein detailliertes Profil des Kaufverhaltens und der finanziellen Gewohnheiten jedes Einzelnen.

Die rund 339.100 betroffenen Personen sind überwiegend australische Verbraucher, die bei Napoleon Perdis eingekauft haben – im Geschäft oder online. Da die Daten Lieferadressen enthalten, könnten auch Kunden identifiziert und lokalisiert werden, die eine geschäftliche oder alternative E-Mail-Adresse genutzt haben. Jeder, der jemals ein Napoleon-Perdis-Konto angelegt oder sich für das Kundenbindungsprogramm angemeldet hat, sollte seine persönlichen Daten so lange als potenziell kompromittiert betrachten, bis das Unternehmen für Klarheit sorgt.

Warum Kundenbindungs- und Ausgabedaten die Bedrohungslage verschärfen

In den meisten Diskussionen über Datenlecks im Einzelhandel geht es um Kreditkartennummern oder Passwörter. Diese sind ernst zu nehmen, doch Kundenbindungs- und Ausgabedaten bergen eine andere, oft unterschätzte Art von Risiko.

Wenn Angreifer wissen, wie viel ein Kunde bei einem Händler ausgegeben hat, können sie ihre Ziele priorisieren. Hochwertige Kunden werden mit größerer Wahrscheinlichkeit Ziel ausgefeilter Phishing-Kampagnen, betrügerischer Rückerstattungsbetrügereien oder sogar physischer Annäherungen. Ein Betrüger, der weiß, dass Sie Premium-Mitglied im Kundenbindungsprogramm sind, kann eine äußerst glaubwürdige E-Mail verfassen, die vorgibt, eine exklusive Belohnung anzubieten oder ein Abrechnungsproblem zu klären – komplett mit Ihrem richtigen Namen und Ihrer Adresse.

Diese Profilierungsmöglichkeit unterscheidet ein Hochrisiko-Leck von einem routinemäßigen. Zudem sind Daten dieser Art länger haltbar: Die Informationen verfallen nicht, wie es bei einem Passwort oder einer Kreditkartennummer nach einer Zurücksetzung der Fall sein kann.

Wie Angreifer offengelegte Adress- und Telefondaten ausnutzen

Privatadressen und Telefonnummern sind die beiden Datenpunkte, die ein Leck aus der digitalen in die physische Welt verlagern. Angreifer können sie für SIM-Swapping-Angriffe nutzen, bei denen ein Betrüger einen Mobilfunkanbieter davon überzeugt, Ihre Nummer auf ein von ihm kontrolliertes Gerät zu übertragen und so die SMS-basierte Zwei-Faktor-Authentifizierung auszuhebeln. Telefonnummern ermöglichen auch Vishing oder Voice-Phishing, bei dem sich Anrufer als Banken, Behörden oder Händler ausgeben, um weitere persönliche oder finanzielle Details zu erlangen.

Das ADT-Datenleck, bei dem 10 Millionen Datensätze durch Vishing offengelegt wurden zeigt deutlich, wie telefonbasiertes Social Engineering skaliert, wenn Angreifer über einen Vorrat verifizierter Kontaktdaten verfügen. Privatadressen fügen eine weitere Dimension hinzu und ermöglichen Postbetrug, das Abfangen von Paketen oder gezielte Annäherungen, die die Vertrautheit des Opfers mit dem eigenen Wohnort ausnutzen.

In einem separaten, aber strukturell ähnlichen Fall hat das ADT-Leck, von dem 5,5 Millionen Kunden betroffen waren gezeigt, wie Namen, Telefonnummern und Privatadressen zusammen einen vollständigen Werkzeugkasten für Identitätsbetrug bilden. Das behauptete Napoleon-Perdies-Leck teilt dieses Profil – sollte es sich bestätigen – nahezu exakt.

Einzelhändler sind gerade deshalb attraktive Ziele, weil ihre Datenbanken Identitätsdaten mit Verhaltensdaten kombinieren und oft mit weit weniger Sicherheitsinvestitionen ausgestattet sind als Finanzinstitute. Der behauptete Vorfall bei Napoleon Perdis passt in dieses Muster.

Sofortmaßnahmen, mit denen sich australische Verbraucher jetzt schützen können

Wenn Sie jemals ein Konto bei Napoleon Perdis angelegt oder am Kundenbindungsprogramm teilgenommen haben, können Sie sofort einige praktische Schritte unternehmen.

Überprüfen Sie Ihre E-Mails auf verdächtige Nachrichten. Phishing-Versuche nehmen in den Wochen nach der Bekanntgabe eines Datenlecks häufig zu; oft geben sie sich als die betroffene Marke selbst aus. Seien Sie skeptisch bei jeder E-Mail, die vorgibt, das Leck zu thematisieren, eine Entschädigung anzubieten oder eine Kontobestätigung zu verlangen.

Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Finanzkonten. Da Telefonnummern Teil des mutmaßlichen Lecks sind, sollten Sie nach Möglichkeit Authenticator-Apps den SMS-basierten Codes vorziehen.

Überwachen Sie Ihre Kreditauskunft. Australische Verbraucher können bei den großen Kreditbüros eine Kreditauskunft anfordern und bei Bedenken eine vorübergehende Sperre für neue Kreditanträge einrichten. Dienste wie IDCARE, Australiens nationale Beratungsstelle für Identität und Cybersicherheit, können Personen unterstützen, die glauben, dass ihre Daten missbraucht wurden.

Achten Sie auf physischen Postbetrug. Da Lieferadressen Teil der behaupteten Daten sind, achten Sie auf unerwartete Pakete, Umleitungsbenachrichtigungen oder Aufforderungen zur Bestätigung von Lieferdetails.

Überprüfen Sie Ihren gesamten Daten-Fußabdruck. Dieses Leck ist ein guter Anlass, um zu prüfen, welche Händler und Dienste Ihre persönlichen Daten speichern. Löschen Sie, wo möglich, nicht mehr genutzte Konten und melden Sie sich von Kundenbindungsprogrammen ab, die mehr Daten erfordern, als Sie preisgeben möchten.

Die Behauptung über das Napoleon-Perdis-Datenleck wird noch untersucht, und das Unternehmen hat bisher keine umfassende öffentliche Stellungnahme abgegeben. Unabhängig davon, ob das Leck im behaupteten Umfang letztlich bestätigt wird, ist der Vorfall eine Mahnung, dass Kundenbindungsdatenbanken im Einzelhandel weitaus sensiblere Informationen enthalten, als den meisten Kunden bewusst ist. Jetzt proaktiv zu bleiben, ist der wirksamste Weg, Ihr Risiko zu begrenzen, falls die Daten tatsächlich weiter verbreitet werden.