[English]Die australische Fluglinie Qantas wurde Opfer eines Cyber-Vorfalls mit Datenabfluss. Dumm, wenn Juristen sich des Falls annehmen und ein Richter eine Verfügung erlässt. Troy Hunt, der die Seite Have I Been Pwned (HIBP) betreibt, sieht sich durch eine Verfügung nicht in der Lage, Namen und weitere Daten in seine Datenbank einzustellen. Ergänzung: Die Daten wurden geleaked.
Der Qantas-Hack im Juni 2025
Die australische Fluglinie Qantas stellte am 30. Juni 2025 "ungewöhnliche Aktivitäten" auf einer Plattform fest, die von ihrem Kontaktzentrum zur Speicherung der Daten von knapp sechs Millionen Personen genutzt wird. Dann kontaktiert Qantas seine Kunden, nachdem ein Cyberangriff auf die Kundendienstplattform eines Drittanbieters klar war. Beim Cyberangriff waren unter anderem Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Vielfliegernummern enthalten, wie die BBC z.B. hier schreibt. Ich hatte im Artikel Sicherheitssplitter zum 31. Juli 2025 über ShinyHunters Salesforce-Hacks berichtet, die Qantas, Allianz Life und LVMH betrafen.
Klage gegen Datenveröffentlichung
ShinyHunters haben nur ein Interesse an der Geschichte: Die möchten Lösegeld von den gehackten Salesforce-Kunden erpressen und drohen damit, Daten zu veröffentlichen. Bei Qantas wären dies die Kundendaten. zum 8. Oktober 2025 berichtete ABC Australien im Beitrag Qantas says 'legal protections in place' as cyber hacking group threatens to release personal data von einem neuen Schritt.
In den nächsten Tagen endet die Frist, die die Cyberkriminellen des Zusammenschlusses Scattered Lapsus$ Hunters gesetzt haben, bis zu dem Qantas Lösegeld zahlen muss. Die Gruppe droht Berichten zufolge andernfalls damit, gestohlene Daten von Dutzenden globaler Unternehmen, darunter Qantas, zu veröffentlichen. Andererseits hat Qantas bereits im Juli 2025 eine gerichtliche Verfügung, um die Veröffentlichung von Kundendaten präventiv zu verhindern.
Troy Hunt mit HIBP zwischen den Stühlen
Troy Hunt betreibt die Seite Have I Been Pwned (HIBP), und stellt dort E-Mail-Adressen und Passwörter, die ihm aus Hacks bekannt werden, ein. So können Nutzer prüfen, ob sie eventuell bei einem Cybervorfall mit ihren Daten betroffen waren. Nun ist Troy Hunt zwischen "alle Stühle" geraten – einerseits will er die Daten aus Hacks bereitstellen – andererseits darf er dies für Qantas nicht – wobei er wohl selbst mit eigenen Daten Opfer geworden ist.
Gestern bin ich auf obigen BlueSky-Post gestoßen, der auf das Problem aufmerksam macht. Cynthia Brumfield schreibt "Ein wirklich interessanter Artikel über die Auswirkungen gerichtlicher Verfügungen gegen die Veröffentlichung von Daten, die von kriminellen Gruppen gestohlen wurden." Sie weist auf den Post Court Injunctions are the Thoughts and Prayers of Data Breach Response von Troy Hunt hin.
Der Titel lässt sich als "Gerichtliche Verfügungen sind die Gedanken und Gebete der Reaktion auf Datenverstöße" übersetzen. Das Fazit für HIBP lautet, dass Troy Hunt die Daten aus dem Qantas-Vorfall nicht in sein System aufnehmen kann, weil diesem die gerichtliche Verfügung gegenüber steht. Das ist aber zum Nachteil der Opfer und Organisationen, die wissen möchten, ob sie von diesem oder einem anderen Vorfall betroffen sind.
Troy Hunt zieht in seinem Artikel den Schluss: "Aus Sicht von HIBP können wir diese Daten natürlich nicht in die Datenbank hochladen. Es ist sehr wahrscheinlich, dass Hunderttausende unserer Abonnenten davon betroffen sein werden, und wir werden sie nicht darüber informieren können (was einer der Gründe ist, warum ich diesen Beitrag geschrieben habe – damit ich sie bei Fragen hierher verweisen kann).
Qantas habe zwar offensichtlich Offenlegungsmitteilungen mit der Information, dass sie von einem Datenleck betroffen sind, an die betroffenen Personen verschickt. Aber Hunt argumentiert, dass es eine Sache sei, von einem Sicherheitsvorfall zu erfahren, aber ein Treffer bei der Suche auf Have I Been Pwned eine andere Bedeutung habe (jemand sucht aktiv, ob er betroffen ist). Darüber hinaus werde Qantas die Eigentümer der Domains, auf die sich die E-Mail-Adressen ihrer Kunden befinden, nicht benachrichtigen. Viele Betroffene verwenden ihre geschäftliche E-Mail-Adresse für ihr Qantas-Konto. Steht dies mit den anderen offengelegten Datenattributen in Verbindung, entsteht ein organisatorisches Risiko. Unternehmen möchten wissen, wenn Unternehmensressourcen (einschließlich E-Mail-Adressen) durch eine Datenpanne offengelegt werden. Normalerweise wäre es ein leichtes, dass dies durch eine Datenabfrage bei Have I Been Pwned zu klären. Wird leider nicht klappen, da die Juristen "gut gemeinte" Arbeit geleistet und jegliche Veröffentlichung per Verfügung untersagt haben – zumindest soweit ich das verstehe. Gut gemeint ist immer noch weit weg von gut gemacht.
Ergänzung: Die Daten von Qantas Airways wurden, zusammen mit weiteren Opfern, von Scattered Lapsus$ Shiny Hunters geleakt – siehe folgender Tweet.
MVP: 2013 – 2016
Was? Kann ich auch mal an dem Kraut ziehen was die da rauchen?
"Qantas says 'legal protections in place' as cyber hacking group threatens to release personal data"
Das erinnert mich irgendwie an das "No Crime 8am – 6pm" meme.
Ich weiß das man dadurch später mehr Munition gegen die Hacker hat, aber lächerlich hört es sich trotzdem an
Stop-Schild, Hackerverbotszone, man kennt solche erfolgreichen Konzepte.