Die Admins der North-Face-Website haben offensichtlich gepennt: Unbekannte Angreifer haben die Internetseite über fast einen Monat attackiert. Dabei konnten sie 194.905 Kunden-Accounts kompromittieren. Erst nach mehr als drei Wochen wurden die Admins darauf aufmerksam und haben die Attacke gestoppt. Um die Accounts zu kapern, haben die Angreifer im großen Stil E-Mail-Adressen und Passwörter durchprobiert, bis es Treffer gab. Solche Log-in-Daten stammen in der Regel aus anderen Hacks und werden in großen Listen gesammelt in Untergrundforen verkauft. Derartige Angriffe nennt man Credential-Stuffing-Attacken. Hier hat North Face ganz offensichtlich geschlampt und die unzähligen fehlgeschlagenen Log-ins im Zuge der Attacke schlicht nicht mitbekommen. Der Vorfall wurde jetzt nur bekannt, weil der Website-Betreiber gesetzlich dazu verpflichtet ist, solche Sicherheitsvorfälle zu melden – das ist in Deutschland auch der Fall. Anders als hierzulande sind die Informationen zur IT-Attacke sogar öffentlich einsehbar. Neben den Log-in-Daten sollen die Angreifer unter anderem auch Zugriff auf Adressen, Namen und Telefonnummern gehabt haben. Die Verantwortlichen geben an, alle Kennwörter zurückgesetzt zu haben. Auf Bezahlinformationen, wie Kreditkartendaten, sollen die Angreifer keinen Zugriff gehabt haben. Betroffene Kunden will der Hersteller von Outdoor-Bekleidung benachrichtigen. Auch wenn der Website-Betreiber hier Mist gebaut hat, sollte man seinen eigenen Umgang mit Passwörtern kritisch hinterfragen. So darf man aus Bequemlichkeitsgründen niemals nur ein Passwort für alle Onlinedienste nutzen. Kommt das nämlich abhanden, haben Angreifer quasi den Generalschlüssel erbeutet und können auf alle Accounts zugreifen.