Der niederländische Kosmetikkonzern Rituals hat eine Datenpanne bestätigt, bei der Angreifer unbefugten Zugriff auf die Datenbank des My Rituals Treueprogramms mit 41 Millionen Mitgliedern erlangt haben. Der Vorfall wurde im April 2026 entdeckt und am 23. April öffentlich bekannt gegeben.
Die Rituals-Datenpanne: Was geschah
Rituals, die Amsterdamer Kosmetikmarke mit über 1.400 Boutiquen in 33 Ländern, entdeckte einen unbefugten Download der Mitgliederdatenbank. Das My Rituals Programm bietet exklusive Belohnungen und personalisierte Rabatte - und speichert dafür umfangreiche persönliche Daten. Das Unternehmen leitete eine forensische Untersuchung ein, blockierte den Zugang der Angreifer und benachrichtigte die zuständigen Datenschutzbehörden. Keine Hackergruppe hat die Verantwortung übernommen, und Rituals hat bislang keine Beweise für eine Veröffentlichung der gestohlenen Daten gefunden.
Welche persönlichen Daten gestohlen wurden
Laut offizieller Mitteilung von Rituals haben die Angreifer Zugang zu folgenden Kundendaten erlangt:
- Vollständiger Name
- E-Mail-Adresse
- Telefonnummer
- Geburtsdatum
- Geschlecht
- Heimatadresse
- Bevorzugte Filiale und Kontotyp
Die Datenpanne betraf hauptsächlich Mitglieder in Europa und Großbritannien. Betroffene Kunden wurden direkt per E-Mail benachrichtigt.
Passwörter und Zahlungsdaten sind nicht betroffen
Rituals bestätigte, dass Kontokennwörter und Zahlungskartendaten nicht Teil der kompromittierten Datenbank waren. Cybersicherheitsexperten warnen jedoch: Die Kombination aus Name, Adresse, Geburtsdatum und Kontaktdaten reicht für hochgezielte Phishing-Angriffe und in manchen Fällen für Identitätsbetrug. Permanente persönliche Daten lassen sich nicht wie ein kompromittiertes Passwort einfach zurücksetzen.
Warum Treueprogramm-Lecks gefährlicher sind als sie wirken
Daten aus Treueprogrammen werden als Bedrohungsvektor oft unterschätzt. Bei 41 Millionen betroffenen Datensätzen ist das Ausmaß möglicher Folgeangriffe erheblich. Kriminelle können diese Daten nutzen für:
- Überzeugende Phishing-E-Mails mit Ihrem echten Namen und Loyalty-Status
- Identitätsbetrug inklusive gefälschter Kreditanträge oder Dokumente
- SMS-Betrug als offizielle Rituals-Kommunikation getarnt
- Kombination mit anderen Datenlecks für detaillierte Social-Engineering-Profile
Fälle wie dieser verdeutlichen, warum normale Nutzer - nicht nur Technikexperten - zunehmend VPNs als grundlegende Schutzschicht nutzen, besonders beim Einkaufen oder Zugang zu Mitgliedskonten über öffentliches WLAN.
Was betroffene Kunden jetzt tun sollten
- Bleiben Sie wachsam gegenüber Phishing-E-Mails, die Ihren echten Namen oder Ihre Rituals-Mitgliedschaft erwähnen
- Klicken Sie nicht auf Links in unerwarteten E-Mails oder SMS, die angeblich von Rituals stammen
- Ändern Sie Ihr Rituals-Kontokennwort als Vorsichtsmaßnahme
- Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr E-Mail-Konto
- Achten Sie auf ungewöhnliche Aktivitäten bei Konten, die mit Ihrer Rituals-E-Mail-Adresse verknüpft sind
