Der französische Online-Marktplatz ManoMano teilt mit, dass Hacker über einen Subunternehmer in der Kundenbetreuung in die Systeme eindrangen und Daten von 38 Millionen Nutzern abgriffen.
Der europäische DIY-Einzelhandelkonzern ManoMano informiert seine Kunden über einen Datenpanne, die durch die Kompromittierung eines externen Dienstleisters verursacht wurde.
Wie ManoMano gegenüber BleepingComputer bestätigte, wurde der Angriff im Januar 2026 entdeckt. Eine anschließende Untersuchung ergab, dass insgesamt 38 Millionen Personen von dem Vorfall betroffen sind.
“Wir können bestätigen, dass ManoMano seine Kunden kürzlich über einen Sicherheitsvorfall in Verbindung mit einem unserer Dienstleister im Kundenservice-Bereich informiert hat”, teilte das Unternehmen mit. “Im Januar 2026 identifizierten wir unbefugten Zugriff, der zur unautorisierten Entnahme persönlicher Daten in Zusammenhang mit Kundenkonten und Kundenservice-Interaktionen führte.”
ManoMano ist ein französisches E-Commerce-Unternehmen, das einen Online-Marktplatz für Do-it-yourself-Produkte, Heimwerkerbedarf, Gartenartikel und verwandte Kategorien betreibt. Die Plattform ist in Frankreich, Belgien, Spanien, Italien, Deutschland und Großbritannien aktiv und verzeichnet Berichten zufolge monatlich etwa 50 Millionen einzigartige Besucher.
Bereits Anfang des Monats prangerte ein Hacker unter dem Pseudonym “Indra” den Angriff auf einem Hacker-Forum an und behauptete, Daten von 37,8 Millionen Benutzerkonten sowie tausende Support-Tickets und Anhänge in Besitz zu haben.
Unbestätigten Berichten zufolge handelte es sich bei der betroffenen Organisation um einen tunesischen Kundenservice-Dienstleister, der Opfer einer Zendesk-Sicherheitslücke wurde. Das Cybersecurity-Unternehmen Hackmanac berichtete, dass ManoMano diese Woche mit der Benachrichtigung der Kunden begonnen hat.
Ein ManoMano-Sprecher erklärte gegenüber BleepingComputer, dass die offengelegten Informationen je nach Art der Kundeninteraktion variieren. Zu den betroffenen Datentypen gehören personenbezogene Daten aus Kundenprofilen und Service-Anfragen.
ManoMano betont ausdrücklich, dass keine Passwörter abgerufen und keine Datenveränderungen in den Unternehmenssystemen vorgenommen wurden.
“Nach der Entdeckung ergriffen wir sofortige Maßnahmen zur Sicherung unserer Umgebung, einschließlich der Deaktivierung des relevanten Zugriffs, der Sperrung des Subunternehmer-Zugangs zu Kundendaten sowie der Verstärkung von Zugangskontrollen und Überwachung”, erklärte ein ManoMano-Sprecher. “Wir informierten auch die zuständigen Behörden, darunter die CNIL und ANSSI, und benachrichtigten betroffene Kunden mit Empfehlungen, wachsam gegenüber Phishing- und Social-Engineering-Angriffen zu bleiben.”
Die Benachrichtigungsmuster, die ManoMano BleepingComputer zeigte, enthält Sicherheitsempfehlungen für Kunden, darunter die Überprüfung eingehender Mitteilungen und der Absenderidentität, die Überwachung von Bankkonten auf betrügerische Transaktionen sowie das Vermeiden verdächtiger Links und E-Mail-Anhänge.
ManoMano teilt mit, dass die Untersuchung noch laufend ist und zum gegenwärtigen Zeitpunkt keine weiteren technischen Details mitgeteilt werden können.
Quelle: BleepingComputer