VTEX: Sechs Millionen Kundendaten kompromittiert

Globaler E-Commerce-Riese lässt Datenbank monatelang ungeschützt – Samsung, Nestlé und Walmart-Kunden betroffen

Der brasilianische E-Commerce-Gigant VTEX hat durch eine massive Sicherheitslücke die persönlichen Daten von rund sechs Millionen Kunden weltweit preisgegeben. Eine falsch konfigurierte Cloud-Datenbank stand monatelang ungeschützt im Internet – und das, obwohl Sicherheitsforscher das Unternehmen bereits im Februar 2025 warnten.

VTEX stellt die digitale Handelsplattform für über 3.500 Online-Shops in 38 Ländern bereit. Zu den betroffenen Marken gehören Schwergewichte wie Samsung, Nestlé, Mazda, Coca-Cola, Walmart und Sony. Die kompromittierten Daten umfassen vollständige Namen, Wohnadressen, Telefonnummern, E-Mail-Adressen und detaillierte Kaufhistorien.

Monatelanger Stillstand trotz Warnungen

Die Cybersicherheitsfirma Cybernews entdeckte die ungeschützte Datenbank am 28. Februar 2025. Das Problem: ein nicht authentifizierter Cloud-Container – ein häufiger, aber kritischer Konfigurationsfehler. Die Datenbank war praktisch ohne Passwort-Schutz für jeden im Internet zugänglich.

Trotz mehrmaliger Kontaktversuche reagierte VTEX monatelang nicht auf die Warnungen. Erst nachdem Cybernews das brasilianische Computer Emergency Response Team (CERT) einschaltete, wurde die Sicherheitslücke geschlossen. Die Daten lagen im Parquet-Format vor – typisch für große Datenanalysen.

Perfektes Material für Betrüger

Die Kombination aus persönlichen Kontaktdaten und spezifischen Kaufhistorien macht die gestohlenen Informationen besonders gefährlich. Cyberkriminelle können damit täuschend echte Phishing-Angriffe starten – etwa gefälschte „Bestellbestätigungen“ oder „Lieferprobleme“, die von vertrauenswürdigen Händlern zu stammen scheinen.

Sicherheitsexperten warnen vor einer neuen Qualität der Betrugsmaschen. Mit den detaillierten Einkaufsdaten können Kriminelle ihre betrügerischen Nachrichten so personalisieren, dass sie kaum von echten Händler-Mails zu unterscheiden sind. Das erhöht die Erfolgswahrscheinlichkeit drastisch.

Anzeige: Übrigens: Wer sich vor täuschend echten Phishing-Mails und Datenklau schützen möchte, kann sein Android-Smartphone mit wenigen Handgriffen deutlich sicherer machen. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Maßnahmen – leicht erklärt, ohne teure Zusatz-Apps, ideal für WhatsApp, Online‑Shopping und Banking. Holen Sie sich jetzt den Schritt‑für‑Schritt‑Leitfaden und schließen Sie die häufigsten Lücken. Kostenlosen Android‑Sicherheitsratgeber anfordern

Systemisches Problem der digitalen Lieferkette

Der VTEX-Vorfall verdeutlicht ein wachsendes Problem: die Abhängigkeit von Drittanbietern in der digitalen Wirtschaft. Wenn ein einziger Plattform-Anbieter versagt, sind Millionen von Kunden verschiedenster Marken betroffen.

Besonders brisant: Die meisten Datenlecks entstehen heute nicht durch ausgeklügelte Hackerangriffe, sondern durch menschliche Fehler bei der Cloud-Konfiguration. Das zeigt, wie wichtig interne Sicherheitsprotokolle und regelmäßige Audits geworden sind.

Rechtliche Konsequenzen drohen

VTEX steht nun vor regulatorischen Untersuchungen in allen 38 Ländern, in denen das Unternehmen tätig ist. Hohe Bußgelder nach verschiedenen Datenschutzgesetzen sind wahrscheinlich. Auch die Tausenden von Marken, die auf VTEX setzen, müssen mit Reputationsschäden und Vertrauensverlust rechnen.

Für die sechs Millionen betroffenen Kunden gilt höchste Vorsicht. Experten empfehlen, E-Mail- und Finanzkonten verstärkt zu überwachen und Dienste wie „HaveIBeenPwned?“ zu nutzen, um weitere Datenlecks zu identifizieren.