Datendiebstahl & Leaks

200.000 Kundenkonten von North Face wurden gestohlen

Im August 2022 kompromittierten Angreifer rund 200.000 Kundenkonten auf der Website von The North Face — der Outdoor-Marke des VF-Corporation-Konzerns. Der Angriff lief über einen Monat unentdeckt und nutzte die Credential-Stuffing-Methode: automatisiertes Testen von Zugangsdaten aus früheren Datenlecks anderer Dienste. The North Face meldete den Vorfall aufgrund gesetzlicher Meldepflichten und informierte betroffene Nutzer.

Credential Stuffing: Alter Angriff, neue Dimension

Credential Stuffing ist keine neue Technik. Angreifer nutzen dabei Kombinationen aus E-Mail-Adressen und Passwörtern, die bei früheren Datenlecks anderer Dienste erbeutet wurden. Da viele Nutzer dieselben Zugangsdaten für mehrere Dienste verwenden, funktioniert ein erheblicher Prozentsatz der Versuche.

Die Werkzeuge dafür sind frei verfügbar. Tools wie OpenBullet, SentryMBA oder spezialisierte Bots testen automatisiert Tausende Credentials pro Minute gegen Login-Seiten. Aktuelle Proxy-Netzwerke verteilen die Anfragen über tausende IP-Adressen, um Rate-Limiting und IP-basierte Sperren zu umgehen.

Laut dem Verizon Data Breach Investigations Report 2023 sind gestohlene oder kompromittierte Zugangsdaten der häufigste initiale Angriffsvektor — beteiligt an über 80 Prozent der Webanwendungs-Angriffe.

Warum der Angriff einen Monat unbemerkt blieb

Dass Angreifer einen Brute-Force-artigen Angriff über vier Wochen ungehindert durchführen konnten, deutet auf grundlegende Defizite in der Angriffserkennung hin:

Fehlendes Login-Anomalie-Monitoring: Ungewöhnliche Anmeldeversuche — massenhaft, von wechselnden IPs, zu ungewöhnlichen Zeiten — wurden offenbar nicht als verdächtig erkannt
Kein Rate-Limiting oder Account-Lockout: Ohne Begrenzung der Login-Versuche pro Account oder IP können Angreifer beliebig viele Kombinationen testen
Fehlende Bot-Erkennung: Moderne Bot-Detection-Systeme erkennen automatisierte Login-Versuche anhand von Verhaltensmustern, Browser-Fingerprints und Mausbewegungen

Welche Daten betroffen waren

Bei erfolgreichem Login erhielten die Angreifer Zugriff auf die in den Kundenkonten hinterlegten Informationen — darunter potenziell Name, Adresse, Kaufhistorie und gespeicherte Zahlungsinformationen. VF Corporation erklärte, dass vollständige Kreditkartennummern nicht exponiert gewesen seien, da diese nicht im Klartext gespeichert würden.

Die eigentliche Gefahr geht jedoch über The North Face hinaus: Angreifer validieren durch erfolgreiche Logins, dass bestimmte E-Mail-Passwort-Kombinationen aktiv genutzt werden. Diese verifizierten Credentials werden anschließend gegen höherwertige Ziele eingesetzt — Banking-Portale, E-Mail-Konten, Unternehmens-VPNs.

Handlungsempfehlungen

Für Endnutzer:

Passwort-Manager verwenden und für jeden Dienst ein einzigartiges Passwort generieren
MFA aktivieren, wo immer verfügbar
Have I Been Pwned prüfen: Unter haveibeenpwned.com lässt sich überprüfen, ob die eigene E-Mail-Adresse in bekannten Datenlecks auftaucht

Für Unternehmen mit Webportalen:

Credential-Stuffing-Detection implementieren: Login-Versuche auf Anomalien überwachen — Velocity Checks, Device Fingerprinting, geografische Plausibilität
Rate-Limiting und progressive Lockouts nach fehlgeschlagenen Versuchen
Kompromittierte Credentials proaktiv prüfen: Passwörter gegen bekannte Breach-Datenbanken abgleichen
SIEM-Integration: Login-Events an ein zentrales Monitoring weiterleiten

Juliane Heinen

Einen Monat Credential Stuffing — und niemand hat es bemerkt

Credential Stuffing ist einer der einfachsten Angriffe — und trotzdem einer der erfolgreichsten.

Der North-Face-Vorfall zeigt ein Muster, das wir bei NEOSEC in Security Assessments immer wieder sehen: Login-Endpunkte ohne Rate-Limiting, ohne Bot-Detection, ohne Anomalie-Monitoring. Angreifer können wochenlang automatisiert Credentials testen, ohne dass ein Alarm ausgelöst wird.

Dabei ist die Erkennung technisch nicht schwierig. Ein SIEM, das Login-Events korreliert, erkennt Credential Stuffing anhand eindeutiger Muster: Tausende fehlgeschlagene Logins von wechselnden IPs, ungewöhnliche User-Agent-Strings, Login-Versuche zu Uhrzeiten, in denen echte Nutzer schlafen.

Bei NEOSEC integrieren wir Login-Events aus Webanwendungen, Identity Providern und VPN-Gateways in unser XIEM®-basiertes Monitoring. Credential-Stuffing-Muster werden automatisch erkannt und eskaliert — nicht nach einem Monat, sondern in Minuten.

Für Unternehmen mit kundenorientierten Webportalen empfehlen wir zusätzlich: Kompromittierte Credentials proaktiv prüfen (z.B. über Microsoft Entra ID Password Protection oder HaveIBeenPwned-API-Integration) und MFA für alle Kundenkonten anbieten — nicht nur für interne Systeme.

Wie gut erkennt Ihre Infrastruktur automatisierte Login-Angriffe? Lassen Sie es uns testen.

BleepingComputer — The North Face accounts hacked in credential stuffing attack (August 2022)
Verizon — Data Breach Investigations Report 2023

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

AI Security

Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert

J. Benjamin Espagné 10. April 20268. April 2026

Security Operations Center stehen unter Druck. Die Alert-Volumen steigen, die Angriffstechniken werden komplexer, und qualifizierte Analysten sind Mangelware. KI wird oft als…

lesen Der augmentierte Analyst: Wie KI die Geschwindigkeit im SOC verändert
AI Security

40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

J. Benjamin Espagné 9. April 20268. April 2026

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon…

lesen 40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist
NIS-2 & Compliance

BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit

J. Benjamin Espagné 9. April 20269. April 2026

Das BSI hat den C5:2026 veröffentlicht — die zweite substanzielle Revision des Cloud Computing Compliance Criteria Catalogue. Mit 258 Seiten, 17 Kriterienbereichen…

lesen BSI veröffentlicht C5:2026 — neuer Maßstab für Cloud-Sicherheit
In eigener Sache

10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo

J. Benjamin Espagné 8. April 20268. April 2026

NEOSEC wird zehn Jahre alt. Ein Jahrzehnt in der Cybersicherheit — das sind ungefähr sieben Generationen in Menschenjahren. Technologien, die bei unserer…

lesen 10 Jahre NEOSEC: Nicht mehr neu — aber kontinuierlich Neo
Wissen & Praxis

XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht

J. Benjamin Espagné 8. April 20268. April 2026

Splunk ist der Platzhirsch im SIEM-Markt. Seit über 20 Jahren das Standardwerkzeug in Enterprise-SOCs, mittlerweile Teil des Cisco-Portfolios, mit einem Ökosystem aus…

lesen XIEM® vs. Splunk: Warum der Mittelstand kein Enterprise-SIEM braucht
Schwachstellen & Exploits

Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?

J. Benjamin Espagné 8. April 20268. April 2026

Die meisten Unternehmen mit SIEM-System gehen davon aus, dass sie Angriffe erkennen. Die wenigsten können sagen, welche. Detection Coverage — die systematische…

lesen Detection Coverage: Wissen Sie, was Ihr SIEM tatsächlich erkennt?