Am 31. Dezember schickte Jonathan Stallegger ein Mail aus. Es waren allerdings keine fröhlichen Neujahrsgrüße, die der Velofood-Gründer an seine Kunden verschickte, sondern eine brisante Information: Der Grazer Essenszusteller Velofood wurdeOpfer von Hackern – und mit ihm potentiell Tausende Kundinnen und Kunden. Durch eine "Sicherheitslücke" beim Online-Shop-System WooCommerce, mit dem auch Velofood arbeitet, seien Kreditkartendaten von Kunden abgegriffen worden. Das heißt laut Velofood: Es dürften auch andere Unternehmen betroffen sein.
Damit klärte sich auch, warum so viele Grazer ab Mitte Dezember unfreiwillig Kontakt mit ihrer Kreditkartenfirma hatten: Nach fragwürdigen Buchungsanfragen aus Belgien über teils hohe Beträge wurden zahllose Karten gesperrt und ausgetauscht. Manchmal waren hohe Beträge bereits abgebucht, manchmal haben die Kreditkartenfirmen die Buchungen von sich aus gleich blockiert.
Velofood: 5000 Kunden haben im Zeitraum mit Kreditkarte bezahlt
"Wir konnten den Hacking-Angriff mittlerweile bereits unterbinden", so Stallegger in einer Stellungnahme gegenüber der Kleinen Zeitung. "Und wir werden das natürlich auch anzeigen." In jenem Zeitraum, in dem die Sicherheitslücke von den Hackern ausgenutzt wurde, haben laut Velofood 5000 Kundinnen und Kunden mit Kreditkarte bestellt. "Aber nur von 15 bis 20 Personen haben wir eine Rückmeldung bekommen, dass tatsächlich etwas abgebucht wurde." Jedenfalls habe man transparent agiert "und alle möglichen betroffenen Velofood-Kunden per Mail informiert", betont Stallegger. "Meines Wissens als einzige Firma."
Kommentar zum Thema
Als erste Reaktion nach Bekanntwerden des Angriffs wurde bei Velofood die Bezahlmöglichkeit via Kreditkarte "sofort deaktiviert". Was Velofood-Chef Stallegger betont: "Bei Sofort-Überweisung und bei Paypal (womit auch ohne Account per Kreditkarte bestellt werden kann) gibt es keine Probleme mit den Daten, weil dabei auf eine eigene Seite weitergeleitet wird." Und: "Unser System wird bis zum 6. Jänner vollständig neu und mit zusätzlichen Sicherungseinrichtungen installiert", so Stallegger, "um in Zukunft von solchen Angriffen auf WooCommerce nicht betroffen zu sein".
Beim Hacking-Angriff haben die bisher unbekannten Täter voraussichtlich die eingetippte Kreditkartendaten mitgelesen. "Selbstverständlich werden Kreditkartendaten nie direkt bei uns gespeichert und sind auch niemals von uns einsehbar", so Stallegger.
