Condé Nast: Millionen Nutzerdaten nach Hackerangriff veröffentlicht

Ein zentraler Login für alle Magazine des Medienriesen wurde zum Einfallstor für Cyberkriminelle. Nun droht die Veröffentlichung von 40 Millionen weiteren Datensätzen.

In einem schwerwiegenden Sicherheitsvorfall sind die Daten von rund 2,3 Millionen Abonnenten des Technologiemagazins WIRED geleakt worden. Der Angriff traf die zentrale Nutzerverwaltung des Medienkonzerns Condé Nast. Die verantwortlichen Hacker drohen nun damit, in den kommenden Wochen zehnmal so viele Datensätze weiterer Titel wie Vogue, The New Yorker und Vanity Fair zu veröffentlichen. Für die deutsche Medienbranche, in der ähnliche Plattformen genutzt werden, ist der Fall ein alarmierendes Warnsignal.

Was im WIRED-Datenleck steckt

Ende Dezember tauchte auf einem bekannten Hackerforum eine Datenbank mit 2,36 Millionen Einträgen auf. Sicherheitsforscher bestätigten die Echtheit der gestohlenen WIRED-Abonnentendaten. Neben E-Mail-Adressen und internen IDs enthält der Datensatz für Hunderttausende Nutzer auch sensible Informationen: Vollständige Namen, Postadressen und Telefonnummern. Glück im Unglück: Passwörter oder Kreditkartendaten waren laut ersten Analysen nicht Teil des Leaks.

Dennoch ist die Gefahr real. Mit den veröffentlichten Kontaktdaten können Kriminelle gezielte Phishing-Angriffe starten. „Ein E-Mail-Postfach, das mit einem Abo eines Tech-Magazins verknüpft ist, ist für Betrüger besonders wertvoll“, erklärt ein Sicherheitsexperte. Die Daten stammen teilweise aus dem September 2025 – es handelt sich also um aktuelle Informationen.

Gesammelte Abonnentendaten sind für Phisher eine Goldgrube – gerade personalisierte Spear‑Phishing‑Angriffe drohen nach dem Condé Nast‑Leak. Das kostenlose Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte‑Anleitung, mit Checklisten, Schulungs‑Vorlagen und konkreten Abwehrmaßnahmen, um gefälschte Absender, manipulative Links und CEO‑Fraud schnell zu erkennen. Ideal für Redaktionen, IT‑Verantwortliche und betroffene Abonnenten, die ihre Kommunikation und Systeme sofort absichern wollen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Ein simpler Fehler mit fatalen Folgen

Der Angriff gelang durch eine vergleichsweise simple Schwachstelle: eine IDOR-Lücke (Insecure Direct Object Reference) in der zentralen Identity-Management-Plattform von Condé Nast. Solche Fehler erlauben es Angreifern, durch Manipulation von Parametern – etwa einer Nutzer-ID in einer Webadresse – auf fremde Daten zuzugreifen. Kombiniert mit fehlerhaften Zugriffskontrollen wurde so das gesamte Abonnentenverzeichnis eines großen Magazins abgreifbar.

Besonders pikant: Der Hacker mit dem Alias „Lovely“ behauptet, den Fehler bereits im November 2025 an Condé Nast gemeldet zu haben. Nach einem Monat ohne Antwort sei man zur Veröffentlichung der Daten übergegangen. Ein klassischer Fall von gescheiterter „Responsible Disclosure“. Das Schweigen des Konzerns habe die Eskalation erst provoziert, so die Darstellung des Angreifers.

Die Drohung: 40 Millionen Datensätze in Gefahr

Die eigentliche Brisanz des Falls liegt in der Architektur von Condé Nast. Der Konzern nutzt ein einheitliches Login-System. Ein Account gibt Zugang zu Dutzenden Magazinen – von Glamour über GQ bis zu Architectural Digest. Die jetzt bekannte Lücke in dieser zentralen Plattform könnte somit nicht nur WIRED, sondern den gesamten Verlag betroffen haben.

Genau das behauptet der Threat Actor. Er droht mit der Veröffentlichung eines Datensatzes, der über 40 Millionen Nutzerprofile umfassen soll. Erste Analysen der bereits geleakten WIRED-Daten stützen diesen Anspruch; die Dateistrukturen deuten auf eine gemeinsame Datenbank für alle Marken hin. Sollte sich die Drohung bewahrheiten, wäre dies einer der größten datenschutzrechtlichen Skandale im Medienbereich des Jahres 2025.

Lehren für die Branche: Bequemlichkeit vs. Sicherheit

Der Fall wirft ein grelles Licht auf das Sicherheitsdilemma moderner Medienhäuser. Zentrale Login-Systeme sind für Nutzer bequem und für Verlage wertvoll, um nutzerübergreifende Daten zu sammeln. Gleichzeitig schaffen sie einen Single Point of Failure. „Ein erfolgreicher Angriff auf ein solches System trifft nicht nur eine Marke, sondern gleich das gesamte Portfolio“, warnt eine Cybersecurity-Analystin.

Hinzu kommt die Frage des Krisenmanagements. Die angebliche Nicht-Reaktion auf die Schwachstellenmeldung im November ist aus Expertensicht ein schwerer Fehler. Klare und erreichbare Meldewege für Sicherheitsforscher – sogenannte Bug-Bounty-Programme – sind heute ein unverzichtbarer Teil der Cyberabwehr. Ihr Versagen kann, wie hier geschehen, zu vermeidbaren Reputationsschäden führen.

Was Nutzer jetzt tun sollten

Condé Nast hat bislang keine offizielle Stellungnahme zu den Details des Vorfalls veröffentlicht. Es ist jedoch wahrscheinlich, dass das Unternehmen in Kürze eine offizielle Kommunikation startet und betroffene Nutzer zu Passwort-Resets auffordern wird. Aufgrund des großen Datenvolumens könnten auch Aufsichtsbehörden, insbesondere unter der europäischen DSGVO, aktiv werden.

• Spear-Phishing-Mails erwarten: Hochpersonalisierten Betrugs-E-Mails, die sich die geleakten Namen und Adressen zunutze machen.
• Keine Zugangsdaten oder Zahlungsinformationen auf unsicheren Kanälen preisgeben.
• Ihre Konten auf verdächtige Aktivitäten überwachen.

Die kommenden Wochen werden zeigen, ob die Drohung mit den 40 Millionen weiteren Datensätzen wahr gemacht wird. Für die gesamte Verlagswelt bleibt die Erkenntnis: Auch Tech-affine Medien sind nicht vor den grundlegendsten Cybergefahren gefeit.

PS: Hochpersonalisiertes Phishing nutzt Namen, Adressen und Abonnement‑Informationen – genau die Daten, die jetzt offengelegt wurden. Der kostenlose Leitfaden erklärt praxisnah, wie Sie verdächtige E‑Mails prüfen, technische Schutzmechanismen einrichten, Passwortroutinen verbessern und Mitarbeitende sensibilisieren. Mit sofort einsetzbaren Checklisten und Meldevorlagen, die auch für kleine Redaktionsteams funktionieren. So reduzieren Sie das Risiko erfolgreicher Angriffe innerhalb weniger Tage. Anti‑Phishing‑Leitfaden kostenlos anfordern