Datenklau: 1,2 Milliarden geklaute Profil Daten
Sicherheitsfirma lässt Opfer im Dunkeln tappen
Russische Hacker haben Online-Profile gleich milliardenfach abgegriffen. Informationen nur gegen Bares! Die Security-Firma, die das Leck publik machte, will Nutzer nun für die Gewissheit, ob ihre Daten kompromittiert sind, zur Kasse bitten.
Danke das ist mal ein Geschäftsmodell!
Der wohl bisher größten Identitätsdiebstahls im Internet hat eingeschlagen wie eine Bombe. laut Hold Security aus Milwaukee sollen 1,2 Milliarden Profildaten durch russische Hacker erbeutet worden sein.
Wer Gewissheit will, muss zahlen
Breach Notification Service nennt Hold dieses Angebot. Kunden sollen in Zukunft gewarnt werden, falls ihre Daten in einem von der Sicherheitsfirma aufgedeckten Datenklau auftauchen.
Aber natürlich warb Hold auch damit, dass potentielle Opfer aus dem gerade aufgedeckten Riesenleck ebenfalls gewarnt werden würden. Und das hatte die Firma zuvor möglichst bedrohlich erscheinen lassen: Sowohl die größten amerikanischen Unternehmen des Fortune 500 als auch „jede andere Webseite, welche die Hacker in die Finger bekommen konnten“ sei bedroht. Und die meisten davon hätten immer noch offene Sicherheitslücken. Nachdem ein Journalist des Wall Street Journal über Twitter Fragen zu dem Dienst gestellt hatte, verschwand die Beschreibung des Produktes von der Hold-Security-Seite.
Angesichts der Versuche von Hold Security, mit dem Riesenleck Geld zu machen, muss sich die Firma fragen lassen, ob sie die Ergebnisse der eigenen Untersuchung nicht übertrieben dargestellt hat. Ohne Zugriff auf die Rohdaten ist die tatsächliche Brisanz des Falls schwer einzuschätzen. Hat Hold tatsächlich alle Dubletten in den Daten entfernt und wie alt sind die Zugangsdaten? Ist vielleicht ein altes Passwort betroffen, das ich schon beim letzten Datenleck geändert hatte?
Sicher ist nur, dass Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Hasso-Plattner-Institut mit solchen Daten deutlich verantwortungsvoller umgehen. Sie ermöglichen Opfern kostenlos eine Überprüfung ihrer Zugangsdaten.
BSI arbeitet „mit Hochdruck“ an der Aufklärung
Beim BSI prüft man derzeit „mit Hochdruck zusammen mit den zuständigen deutschen und amerikanischen Behörden, ob deutsche Internetnutzer und Online-Anbieter von dem Vorfall betroffen sind“, erklärte die Behörde in einer Stellungnahme. Noch hat das BSI keine Bestätigung dafür, dass tatsächlich 1,2 Milliarden Identitäten betroffen sind.
Sollten die Angaben zutreffen, sei mit hoher Wahrscheinlichkeit davon auszugehen, dass deutsche Nutzer betroffen seien, meint man beim BSI. Ohne die Daten von Hold kann aber auch das BSI diese nicht informieren.