Hacker erbeuten Millionen sensible Kundendaten in den USA
ATLANTA (dpa) Unbekannte Hacker haben beim Finanzdienstleister Equifax wertvolle Daten von bis zu 143 Millionen US-Verbrauchern erbeutet – über 40 Prozent der Bevölkerung. Der Datenklau gefährdet die Betroffenen besonders, weil die Einbrecher auch an die Sozialversicherungsnummern der Opfer gelangten. Diese Nummern werden in den USA oft zur Identifizierung (zum Beispiel bei Mobilfunk-Verträgen oder Kreditanfragen) genutzt.
Die Wirtschaftsauskunftei Equifax räumte ein, die Angreifer hätten sich in ihrem System auch Zugang zu Namen, Geburtsdaten und Adressen verschafft. Die Kombination aus diesen vier Informationen kann Betrügern Tür und Tor öffnen, indem sie zum Beispiel Kredite in fremdem Namen aufnehmen.
Die Attacke sei von Mitte Mai bis Juli erfolgt, teilte der Finanzdienstleister mit. In mehr als 200.000 Fällen seien Kreditkarten-Nummern betroffen und zum Teil auch die Führerschein-Daten – die in den USA ebenfalls oft zur Identifikation dienen. Diese Dokumente können relativ schnell ausgetauscht werden – die Sozialversicherungsnummer begleitet einen Amerikaner aber oft durch sein gesamtes Leben.
Der Vorfall sei am 29. Juli bei einer internen Untersuchung festgestellt, die Sicherheitslücke danach sofort geschlossen worden, erklärte die Firma. Auffällig ist, dass Equifax im Gegensatz zu anderen ähnlichen Fällen keine Angaben dazu machte, ob die Daten durch Verschlüsselung geschützt waren. Unklar blieb auch, wie genau die Angreifer ins System gelangten und ob sie an die Gesamtheit der verknüpften Informationen herankommen konnten. Die Daten hätten getrennt segmentiert aufbewahrt werden müssen, betonte ITSicherheitsexperte Helge Husemann von der Firma Malwarebytes. Das soll dafür sorgen, dass die ver- schiedenen Informationen nicht miteinander verknüpft werden können. Angesichts der Dimension des Datendiebstahls sei auch denkbar, dass der Angriff von innen heraus durchgeführt worden sei.
Zugleich warf der Vorfall nun Fragen auf, weil Finanzchef John Gamble und zwei weitere Top-Manager in den ersten August-Tagen EquifaxAktien für rund 1,8 Millionen Dollar verkauften. Ein Sprecher sagte dem „Wall Street Journal“, sie hätten nur einen geringen Teil ihrer Anteile abgestoßen und zu dem Zeitpunkt nichts von dem Hacker-Einbruch gewusst. Für Insiderhandel, bei dem Aktiengeschäfte auf Basis öffentlich nicht zugänglicher Informationen getätigt werden, gibt es in den USA strenge Strafen.
Für Equifax ist der Vorfall besonders unangenehm, weil das Unternehmen selbst Produkte gegen Daten- und Identitätsdiebstahl durch Hacker anbietet.