Datenleck bei Hipp: Adressen und Passwörter bei Mein BabyClub abgegriffen

Das Bonusprogramm Mein BabyClub des Babynahrung-Herstellers Hipp wurde Opfer eines Hackerangriffs. Das geht aus E-Mails hervor, die an Nutzer des Dienstes verschickt wurden und heise Security vorliegen. Laut Hipp wurden Anfang Mai "Unstimmigkeiten" entdeckt, die darauf hindeuten, dass Klarnamen, Mail-Adressen, Geburtsdaten, postalische Adressen und Passwörter von unbekannten Angreifern kopiert wurden. Man habe die zuständigen Behörden über den Vorfall informiert und die Sicherheitslücke umgehend geschlossen.

Hipp gibt an, die Passwörter seien "vollständig verschlüsselt" gewesen. Was das genau bedeutet, ist momentan nicht bekannt. Auch ist unklar, wie viele Nutzer betroffen sind. Auf eine Anfrage von heise Security hat der Konzern bis jetzt nicht geantwortet. Allein die Anzahl an Hinweisen, die in der Redaktion zu diesem Thema eingegangen sind, deuten allerdings darauf hin, dass eine signifikante Zahl der bei dem Programm angemeldeten Eltern betroffen sind.

Update: 10.06.2016, 15:12 Uhr

Aus einer E-Mail des Datenschutzbeauftragten von Hipp an einen Leser von heise Security geht hervor, dass die Passwörter in der Datenbank als gesalzene Hashes gespeichert waren. Welcher Hashing-Algorithmus verwendet wurde, wollte die Firma nicht mitteilen. Begründet wurde dies mit den Worten: "Bitte haben Sie Verständnis dafür, dass wir keine weiteren Angaben über unsere Sicherungsmaßnahmen machen möchten." (fab)