Es ist so etwas wie der größte anzunehmende Unfall (GAU), die amerikanische Wirtschaftsauskunftei Equifax war seit Monaten gehackt, ohne dass man es bemerkte. Private Daten von Millionen US-Bürgern sind abgeflossen. Updates: Diverse Informationen nachgetragen, so hat das Management wohl Stunden vor Bekanntgabe der Nachricht Aktien verkauft.
Anzeige
Die Alarme von Sicherheitsunternehmen trudelten schon sehr früh am Morgen bei mir ein. Ich komme aber erst jetzt dazu, ein paar Details zu berichten.
Wer ist Equifax?
In der Presse liest man etwas von einem Finanzdienstleister im Zusammenhang mit Equifax. Das steht so auch bei Wikipedia. Aber Equifax ist mehr, es ist die größte Wirtschaftsauskunftei in den USA. Privatpersonen können zudem ihre Kreditkartenbewegungen auf ungewöhnliche Aktivitäten überwachen lassen, wie man hier nachlesen kann. Auch im Bereich Identitätsdiebstahl will diese Firma punkten (siehe unten).
Was ist passiert?
Am 29. Juli 2017 entdeckte die amerikanische Wirtschaftsauskunftei Equifax, dass Angreifer unautorisierten Zugriff auf private Daten von geschätzten 143 Millionen Amerikanern hatten, in dem sie eine Sicherheitslücke in der Equifax-Webseitenanwendung ausnutzten.
Zum jetzigen Zeitpunkt ist nicht bekannt, ob diese Sicherheitslücke eine Zero-Day-Lücke ist oder bereits gepatcht ist. Trifft Ersteres zu, würde das bedeuten, dass weitere Unternehmen höchstwahrscheinlich auch gehackt worden sind.
Laut Equifax waren die Cyber-Kriminellen von Mitte Mai bis Ende Juli 2017 am Werk und hatten Zugriff auf:
- Namen
- Sozialversicherungsnummern
- Geburtsdaten
- Adressen
- Führerscheinnummern (in einigen Fällen)
- Kreditkartennummern (von ca. 209.000 US-Konsumenten)
Außerdem wurden auch persönliche Daten von einigen Bewohnern aus der UK und Kanada entwendet. Mehr Informationen zu dem Angriff bietet Equifax auf der eingerichteten Webseite des Unternehmens. Dort erfährt man auch, dass neben den Kreditkartennummern von 209.000 US-Konsumenten Disputdaten (also Einsprüche) von 182.000 Betroffenen abgerufen wurden.
Katastrophe mit unabsehbaren Folgen
Das Ganze ist quasi der größte anzunehmende Unfall für die Finanzindustrie in den USA. Wer in den USA Zugriff auf Sozialversicherungsnummern oder Führerscheindaten erhält, kann mit diesem Daten quasi einen Identitätsdiebstahl begehen und diese Daten für eigene Zwecke missbrauchen. Und wer Kreditkartennummern hat, kann diese für Bestellungen etc. verwenden.
Die Firma hat auf dieser Webseite die Möglichkeit eingerichtet, dass US-Konsumenten an Hand des Familiennamens und der letzten sechs Ziffern der Sozialversicherungsnummer überprüfen können, ob sie vom Hack betroffen sind. Weiterhin gibt Malwarebytes in diesem Blog-Beitrag an, dass Equifax allen Kunden einen kostenlosen Schutz bei Identitätsdiebstahl sowie die Überwachung ihrer Kreditkarten-Zahlungsdaten auf außergewöhnliche Aktivitäten anbietet.
Anzeige
Ergänzungen zum Artikel
Bei heise.de finden sich noch einige ergänzende Angaben (wobei manche Zahlen imho falsch sind). Spiegel Online berichtet hier, dass die Equifax-Aktie nach Börsenschluss um 5 % gefallen sei. Beim Bloomberg News findet sich die Info, dass die Aktie um 13 % bei Eröffnung des Parketts gefallen ist. Laut Spiegel Online ist Equifax bereits 2013 Opfer einer Cyber-Attacke geworden. Damals wurden Finanz- und persönliche Daten von US-Prominenten entwendet.
Bei Arstechnica erfährt man, dass wohl ca. 44 % der US-Bürger von diesem Datenleck betroffen sind. Harsche Kritik gibt es, dass die Firma fünf Wochen nach der Entdeckung des Hacks brauchte, bis man an die Öffentlichkeit ging. Es gibt zwar teilweise die Nachricht, dass Equifax sofort die "Lücke geschlossen habe". Die Informationen einer Sicherheitsfirma, die mir vorliegen, besagten aber, dass noch gänzlich unklar ist, wie der Hack erfolgte (siehe obigen Text). Und noch etwas: Bloomberg meldet, dass drei Führungskräfte aus dem Equifax-Management ihre Aktienanteile Stunden vor Bekanntgabe des Hacks verkauft haben. Laut Unternehmen sollen die Drei aber nichts von diesem Hack gewusst haben – ein Geschmäckle bleibt, speziell, wenn man hinterfragt, ob ein Finanzvorstand nicht kontaktiert wird, wenn ein Hack passierte, der für das Unternehmen überlebensbedrohlich sein kann.
So bescheiden das Ganze für die Betroffenen ist, ich findet es gut. Gerade die US-Unternehmen können ja nicht genug Daten sammeln und alles bis aufs letzte vernetzen. Wer da nicht mit macht, ist von gestern. Auch hierzulande schwappt diese Welle in Politik und Wirtschaft. Es muss erst richtig weh tun, damit irgendwann ein umdenken erfolgt, jedenfalls meine Meinung. Oder wie seht ihr das?
2015
Da hatt es ja mal die richtigen getroffen.
Hauptsache es sind keine deutschen Kreditkarten-Daten (Master/Visa) dabei, die laufen ja wohl auch über die Amis.
"Wer da nicht mit macht, ist von gestern" … ich bin dann lieber von vorgestern.
Ebay will beharrlich div. Tel. Nr. aus Sicherheitsgründen zum Senden von vergessenen Passwörtern von mir, jetzt habe ich die Nummer der Telefonseelsorge eingetragen ;-)
Viel schlimmer, "ich" muß beim Einwohnermeldeamt aktiv werden damit keine Daten übermittelt werden:
Zitat:
Einrichten von Übermittlungssperren
Mit "Übermittlungssperren" können Sie das Übermitteln Ihrer Meldedaten an bestimmte Institutionen ausschließen.
Folgende Übermittlungssperren können Sie hier online bei Ihrer Meldebehörde einrichten:
Datenübermittlungen an öffentlich-rechtliche Religionsgemeinschaften
Auskünfte an Parteien, Wählergruppen und andere Träger von Wahlvorschlägen
Auskünfte über Alters- und Ehejubiläen
Auskünfte an Adressbuchverlage
Datenübermittlung an das Bundesamt für Personalmanagement der Bundeswehr
Die Übermittlungssperren werden nur für diesen Wohnsitz eingerichtet. Wenn Sie eine Datenübermittlung für alle Wohnsitze ausschließen wollen, müssen Sie die Übermittlungssperren bei den entsprechenden Meldebehörden einrichten.
Das Einrichten von Übermittlungssperren ist kostenfrei.
Ich finde es grenzwertig Widerspruch einlegen zu müssen! Spannend wird es dann mit dem Klick auf "Weiter" :
Um Ihre Anforderung bearbeiten zu können, benötigen wir von Ihnen personenbezogene Daten. Diese Daten erheben und verarbeiten wir nur in dem Umfang, wie es zur Erfüllung der Aufgabe notwendig ist. Wir halten uns dabei strikt an die Bestimmungen der Datenschutzgesetze und der sonstigen datenschutzrechtlichen Vorschriften.
Eine Weitergabe personenbezogener Daten an Dritte erfolgt nicht. Eine Verwendung Ihrer Daten, die nicht in Zusammenhang mit der Bearbeitung Ihrer Anforderung steht, erfolgt nicht.
Und damit schließt sich der Kreis … ;-)
Im öffentlich rechtlichen TV wird in moderierten Frühstücks TV Sendungen um Meinungen und Kommentare über Facebook, Twitter und Konsorten gebeten. Im Staatsauftrag US Konzerne inkl. Datensammelwut unterstützen Wenn sie sich damit mal nicht selber das Wasser abgraben.
Ich habe fertig ;-)
Das ist doch ein netter "Blick" in unsere Zukunft. Merkel möchte doch, dass die Firmen die Digitale Dividente abschöpften – sprich, Daten zu Geld machen. Mit solchen Firmen ist das wohl ein Kinderspiel.
Und leider kein Einzelfall. Ich verfolge das schon eine ganze Weile. Ähnliche Fälle gab es inzwischen weltweit.
Da freue ich mich darauf, dass hier in D immer der billigste Anbieter die Ausschreibungen gewinnt. Zum Beispiel: Krankenkassenverwaltung, Stadtverwaltungen usw.
Einfach toll, was da auf uns zukommt!
Danke für die Info – auch ich versuche, "datensparsam" zu arbeiten.