Update: Doch kein Hackerangriff auf Brack.ch

Update vom 9.4.2025: Der Onlinehändler Brack bestätigt, dass kein Cyberangriff auf seine IT-infrastruktur stattgefunden hat. Wie das Unternehmen in einer Mitteilung schreibt, leitete es Ermittlungen ein - unterstützt von der hauseigenen IT-Security und durch externe Sicherheitsdientsleister. Nun stellt Brack.ch klar: Es seien keine Kundendaten abgeflossen.

Der Verdacht auf einen Cyberangriff kam auf, nachdem am 5. April 2025 ein User auf dem Cybercrime-Forum Breachforums behauptet hatte, Daten von mehr als 2,4 Millionen Brack-Kunden gestohlen zu haben. Brack verschickte daraufhin am vergangenen Montag eine Mitteilung an seine Kundschaft, mit der Aufforderung, ihre Passwörter zu ändern. 

Es seien zwar keine Kundendaten von der IT-Infrastruktur des Onlinehändlers abgeflossen, teilt Brack.ch mit. Allerdings könnten Kundendaten auf sogenannten "Kombo-Listen" auftauchen. Auf solchen Listen könnten User-Daten stehen, die schon früher via Phishing abgezogen worden seien. Dies könnte insbesondere jene User betreffen, die für all ihre Online-Aktivitäten dieselbe Kombination aus Mailadresse und Passwort benutzen, heisst es in der Mitteilung weiter. Brack.ch rufe deshalb weiterhin dazu auf, das Passwort im Online-Shop und bei weiteren Shops und Plattform-Anbietern zu aktualisieren und wo immer möglich eine Zwei-Faktor-Authentifizierung zu implementieren.

Aus Gründen der Transparenz habe Brack.ch zudem den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) über die Angelegenheit informiert. Zudem werde man bei der Polizei eine Strafanzeige gegen Unbekannt stellen.

Originalmeldung vom 8.4.2025:

Unbekannter will über 2 Millionen Daten von Brack.ch-Kunden erbeutet habe

Die am Montag vom Online-Händler Brack verschickte Mitteilung lässt aufhorchen: In der E-Mail, die bis am Abend bei allen betroffenen Kunden im Posteingang landen sollte, schreiben die Verantwortlichen:

"Wir möchten Sie darüber informieren, dass gegenwärtig eine Meldung zur möglichen Entwendung von User-Daten diverser Online-Plattformen im Netz kursiert. Wir empfehlen Ihnen deshalb, Ihr Passwort bei uns und allen anderen Online-Plattformen prophylaktisch zu erneuern."

(Source: Screenshot Watson)

Weiter teilt das Unternehmen mit: "Wir ermitteln mit Hochdruck, ob die Vorwürfe Substanz haben, raten aber zur Prävention."

Welche Hinweise auf einen Hackerangriff gibt es?

Es gibt keine gesicherten Erkenntnisse. Am vergangenen Wochenende verbreitete sich auf Social-Media-Plattformen eine Meldung, wonach ein Cyberkrimineller bei Brack.ch zugeschlagen habe und nun die gestohlenen Nutzerdaten zum Kauf anbiete.

Die Meldung bezog sich auf ein Verkaufsangebot im berüchtigten Cybercrime-Forum "BreachForums". Der Beitrag stammte von einem seit Juni 2023 registrierten User mit dem Pseudonym "Dulnex".

Die entsprechende Datenbank von Brack enthalte die persönlichen Informationen von mehr als 2,4 Millionen Individuen, schrieb die unbekannte Person.

Weiter präzisierte der Anbieter oder die Anbieterin, bei den Informationen handle es sich um "Telefonnummern, E-Mail-Adressen, Vornamen, Nachnamen, Rechnungen, gekaufte Artikel, unbezahlte Artikel, auf Kredit bezahlte Artikel, Nachrichten an den Support und vieles mehr".

(Source: Screenshot Watson)

Als Beleg für die Authentizität des Materials fügte der Verfasser dem Forums-Posting einen Text-Auszug aus der angeblichen Brack-Datenbank an.

Ausserdem sei es ihm gelungen, die Kunden-Rechnungen ("Invoices") herunterzuladen, aber es fehlten "ziemlich viele". Drei angefügte Links führen zum Cloud-Speicherdienst Pixeldrain und beinhalten authentisch aussehende Rechnungen aus den Jahren 2021, 2024 und 2025.

Die Herkunft dieser mutmasslichen Brack-Rechnung ist nicht bekannt. (Source: Screenshot Watson)

Das Breach-Forums-Posting datiert vom Samstag, 5. April. Allerdings wurde der Account in der Zwischenzeit wegen Verstoss gegen die Forums-Regeln gesperrt.

Die Watson-Redaktion hat die besagte Person via Messenger-Dienst Telegram kontaktiert. Die Person behauptet auf Anfrage, ihr Posting sei irreführend gewesen. Es habe keinen "Data Breach" gegeben, also keine Datenschutzverletzung durch eine Cyberattacke. Dies solle der Watson-Journalist auch gleich dem betroffenen Unternehmen ausrichten. Dass Brack die Kundinnen und Kunden gewarnt habe, sei unnötig gewesen. Überprüfen lassen sich diese Angaben nicht.

Die Person mit dem Pseudonym Dulnex kommunizierte in holprigem Englisch und deutlich besserem Französisch. Und sie behauptete, aus Marokko zu stammen.

"Diese Datenbank ist falsch", beteuert der Verfasser des Postings. (Source: Screenshot Watson)

Auf der Breach-Forums-Website finden sich mindestens drei weitere Postings dieses Users mit Verkaufsangeboten. Ein Deal kam augenscheinlich nicht zustande.

Wie reagiert Brack?

Mediensprecher Lukas Keller erklärt auf Anfrage: "Dass es einen Hack unserer Datenbank gegeben hat, können wir aktuell in dieser Form nicht bestätigen. Unsere Sicherheitsexpert:innen sehen derzeit im angebotenen Datensatz eher Fragmente einer so genannten 'Komboliste', in der auch die Daten anderer Plattformen und Onlinehändler enthalten zu sein scheinen. Insofern Brack.ch-Daten betroffen sind, ist dies für uns natürlich nicht hinnehmbar – und wir ermitteln auf Hochtouren."

Und weshalb empfiehlt Brack der eigenen Kundschaft, die Passwörter vorsichtshalber auch zu "allen anderen Online-Plattformen" zu ändern? Der Firmensprecher betont: "Wir haben alle unsere Kund:innen proaktiv über die Situation informiert und bitten sie, ihr Passwort für unser Portal – und andere Onlineportale — zu ändern. Dies, weil es sich wie erwähnt um eine Komboliste mit Anmeldedaten verschiedener Plattformen handeln könnte. Zusätzlich empfehlen wir das Aktivieren der freiwilligen 2-Faktor-Authentifizierung."

Der Versand der E-Mails erfolge "in Kaskaden" und könne sich noch bis in den Abend hinziehen, so der Brack-Sprecher. Das Schreiben enthält keine persönliche Anrede, es beginnt mit "Liebe Kundinnen und Kunden".

Das Branchenportal inside-it.ch hatte am Montag ebenfalls über den Fall berichtet.

Update zum Fall

Brack hat am Montagabend (7. April), einige Stunden nach Veröffentlichung dieses Artikels, eine ausführliche Medienmitteilung verbreitet und Entwarnung gegeben:

"Zunächst weisen aktuell sämtliche Analysen darauf hin, dass kein Angriff auf die Infrastruktur von Brack.ch erfolgt ist, bei dem kritische Daten extrahiert wurden. Vielmehr scheint es sich bei den Datensätzen, die der 'Hacker' zum Verkauf anbot, um – zum Teil aus stark veralteten Informationen generierte – 'Kombo-Listen', zu handeln. Auf diesen werden Personen geführt, die mehrere Konten bei Online-Shops und -Portalen mit derselben E-Mail-Passwort-Kombination benutzen. Darunter womöglich Brack.ch."

Brack.ch-Kunden, die ihre Passwörter variieren, tauchten vermutlich nicht auf "Kombo-Listen" auf, schreibt das Unternehmen. Dass am Montag dennoch "sämtliche Kund:innen" über die sich entwickelnde Situation in Kenntnis gesetzt wurden, sei trotzdem sinnvoll – denn ein regelmässiges Update individueller Login-Daten sei "der beste Schutz gegen externe Einflussnahme".

Dies gelte auch dann, wenn der "Hacker" selbst dementiere, die offerierten Datensätze aus einem Leak bei Brack.ch erlangt zu haben. Man werte die Watson-Recherchen "für den Moment als Indiz, das mit den eigenen Untersuchungen korrespondiert".

"Parallel dauern die Nachforschungen von Brack.ch an. Das Unternehmen wird in den kommenden Tagen weiter interne wie externe Ressourcen dafür einsetzen, die Geschehnisse aufzuklären. Kund:innen und Medien werden über wichtige Neuigkeiten informiert."

Dieser Artikel ist zuerst bei "watson.ch" erschienen. 

Lesen Sie auch: Die Regionalen Verkehrsbetriebe Baden-Wettingen sind Opfer eines Ransomwareangriffs geworden. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.