Lidl spricht von einem Sicherheitsvorfall bei einem Dienstleister, bei dem Angreifer personenbezogene Daten aus einer separat gespeicherten Datei entwendet haben. Betroffen sind Kunden des Online-Shops in Deutschland, Belgien und den Niederlanden. Das Unternehmen informierte die Betroffenen per E-Mail und veröffentlichte Hinweise auf seinen Support-Seiten für Belgien und die Niederlande.

In seiner Mitteilung erklärt der zur Schwarz Group gehörende Händler, dass „trotz hoher IT-Sicherheitsstandards Unbekannte kurzzeitig Zugriff auf eine separat gespeicherte Datei mit Kundendaten erlangt haben und ein Teil der Daten daraus entwendet wurde“. Das System des Online-Shops selbst sei nicht betroffen gewesen.

Nach Angaben von Lidl umfasst der bestätigte Datenabfluss Kundendaten von Online-Shop-Kunden, darunter Anrede, Vorname, Nachname, Telefonnummer, E-Mail-Adresse, Geburtsdatum und Kundennummer. Gleichzeitig betont das Unternehmen, dass sich derzeit noch nicht ausschließen lasse, dass darüber hinaus auch Passwörter, Rechnungs- und Lieferadressen, Bankdaten oder andere Zahlungsinformationen betroffen sein könnten.

Lidl zufolge wurde der Vorfall in der vergangenen Woche entdeckt. Der gehackte IT-Dienstleister habe Strafanzeige erstattet und IT-Forensik-Experten hinzugezogen, um Umfang und Auswirkungen des Vorfalls zu untersuchen. Weitere Details zum Angreifer oder zur genauen Ursache des Einbruchs nennt das Unternehmen in den veröffentlichten Hinweisen nicht.

Außerdem teilte Lidl mit, die niederländische Datenschutzbehörde über die Datenpanne informiert zu haben. Gegenüber den betroffenen Kunden warnt der Händler vorsorglich vor möglichen Phishing-Angriffen, die die entwendeten Informationen ausnutzen könnten. Konkrete Hinweise auf einen Missbrauch der Daten lägen derzeit allerdings nicht vor.

Wörtlich erklärt das Unternehmen, man warne „vorsorglich vor möglichen Phishing-Versuchen oder Identitätsbetrug“, obwohl es aktuell „keine konkreten Hinweise auf einen Missbrauch der Daten“ gebe. Kunden sollten auf unerwartete Nachrichten achten, die Echtheit des Absenders überprüfen und bei Auffälligkeiten weder Daten preisgeben noch auf unbekannte Links klicken.

Eine weitergehende Stellungnahme lag zunächst nicht vor: Ein Sprecher von Lidl war für BleepingComputer nach dessen Anfrage nach zusätzlichen Informationen nicht unmittelbar erreichbar.