Eine Million deutsche Nutzer betroffen: Datenleck bei Thermomix

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Bei Vorwerk gab es ein Datenleck, wie der Anbieter für Haushaltsgeräte mitteilte. Die Lücke betraf das Forum "rezeptwelt.de" des Thermomix-Herstellers und führte dazu, dass Unbekannte massenhaft Nutzerdaten erbeuten konnten. Die Daten stehen im Darknet zum Verkauf. Alle Betroffenen sind informiert, die Lücke ist geschlossen. Dennoch rät Vorwerk Rezeptwelt-Mitgliedern, vorsichtig zu sein: Es drohen weitere Angriffe.

Aus dem Thermomix-Rezeptforum wurden millionenfach Mitgliederdaten abgezogen und stehen nun im Darknet zum Verkauf. Im Datensatz sind die persönlichen Daten von über drei Millionen Rezeptwelt-Mitglieder enthalten, darunter E-Mail-Adressen, Telefonnummern, Adressen und Kochkenntnisse. Laut Vorwerk-Stellungnahme bestand die Lücke nur drei Tage – vom 30. Januar bis zum 3. Februar 2025. Der Zugriff habe zudem nicht auf Vorwerk-eigene Server stattgefunden, sondern bei einem externen Dienstleister.

Neben einer guten Million deutscher Opfer sind jeweils zwischen drei- und vierhunderttausend englisch-, spanisch-, französisch-, italienisch- und polnisch- sowie gut 150.000 portugiesischsprachige Nutzer betroffen. Das Rezeptwelt-Forum richtet sich an eine weltweite Nutzerschaft – auch Thermomix-Anwender aus Australien und Tschechien tummeln sich dort.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden YouTube-Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Nur Forum betroffen

Vorwerk hat unmittelbar nach dem Vorfall reagiert und konnte ihn schnell eingrenzen. In Zusammenarbeit mit Sicherheitsexperten und Datenschützern hat das Unternehmen ausschließen können, dass weitere Systeme oder etwa der Online-Shop betroffen sind. Das Unternehmen mahnt zur Vorsicht: Mit den gestohlenen Daten könnten Kriminelle nun glaubwürdige Phishingangriffe gegen Rezeptwelt-Mitglieder starten. Die Aufsichtsbehörden hat Vorwerk ebenso informiert wie alle betroffenen Nutzer.

Unklar ist jedoch noch die konkrete Sicherheitslücke. Einige Hinweise im Testdatensatz deuten nach Ansicht des Autors darauf hin, dass die Angreifer mit Nutzerprivilegien in ein Staging-System eingedrungen sind und dort Daten, etwa über ein offenes API, abgezogen haben. Gegen einen Zugriff auf die Forumsdatenbank oder gar einen Servereinbruch spricht, dass in den Datensätzen keine Passwort-Hashes enthalten sind. Da diese den Verkaufswert erheblich steigern würden, scheint es unwahrscheinlich, dass der oder die Angreifer sie zurückhalten.

Ein Vorwerk-Sprecher erläuterte uns auf Nachfrage die Ursache des Lecks folgendermaßen: "Ursache für das Leak war eine Security Misconfiguration im Kontext eines ungesicherten nachgeordneten Servers in Kombination mit einer Fehlkonfiguration der Firewall bei unserem externen Dienstleister für das Forum rezeptwelt.de".

Überprüfung auf "Have I been pwned"

Der oder die Angreifer bieten die Daten in einem einschlägigen Darknet-Forum für 1.500 US-Dollar zum Verkauf an, zeigen sich beim Preis aber verhandlungsbereit. Vermutlich vor allem, weil die Kronjuwelen eines Datenlecks – gehashte oder Klartextpasswörter – nicht Teil des Angebots sind. Wie für derlei Offerten üblich, stehen einige Demo-Datensätze zur Verfügung, die beim ersten Überfliegen authentisch aussehen.

Auch bei "Have I been pwned" (HIBP) sind die Daten zwischenzeitlich gelandet. Auf der Website können Internetnutzer anhand ihrer E-Mail-Adresse überprüfen, ob sie von Datenlecks betroffen sind – nun also auch Rezeptewelt-Mitglieder. Wie die Betreiber von HIBP in einer Notiz schreiben, hat ihnen eine Quelle namens "ayame" die Datensätze zur Verfügung gestellt. Dieses Pseudonym gab auch der Forumsnutzer an, der die Daten im Darknet zum Verkauf anbot. Die Beschreibung des bei HIBP hinterlegten Datensatzes deckt sich zudem mit dem Darknet-Posting des Diebes. Da die Betreiber von HIBP stichprobenartig prüfen, ob ihnen überlassene Datensätze echt sind, dürfte es sich um reale Rezeptwelt-Nutzerdaten handeln.

Brisante Datenlecks sind in letzter Zeit massenhaft vorgekommen. Alleine in der letzten Januar- und ersten Februarwoche 2025 berichteten wir über Sicherheitsprobleme bei Reha-Kliniken und Legaltechs; Beteiligte sprechen sogar von einem "Gewöhnungseffekt", der sie abstumpfen lasse. Auch in der 127. Folge des heise-Datenschutzpodcasts "Auslegungssache" geht es um Datenlecks und deren Behandlung durch Unternehmen und Aufsichtsbehörden.

(cku)