Persönliche Daten geleakt: Toyota informiert Kunden nach Ransomware-Angriff
Nach dem Ransomware-Angriff der Erpressergruppe "Medusa" auf Toyota Financial Services informiert das Unternehmen erste Kunden über den Datenschutzvorfall.
Von der Ransomware-Gang "Medusa" gestohlene Kundendaten der Toyota Financial Services sind im Darknet erhältlich.
Mitte November hatte die Ransomware-Gang "Medusa" die Kreditbank des Autoherstellers Toyota angegriffen und persönliche Kundendaten erbeutet. Toyota hatte dies in einem Blogbeitrag bestätigt und mittlerweile erste Kunden in Deutschland auch postalisch "über die Verletzung des Schutzes personenbezogener Daten" benachrichtigt:
Nach dem gegenwärtigen Kenntnisstand von Toyota handelt es sich bei den entwendeten Daten um personenbezogene Daten wie Name, Vorname, Adresse, IBAN und "unter Umständen weitere Vertragsinformationen" wie Vertragssumme, Mahnstatus der Kundinnen und Kunden. Medusa behauptet, darüber hinaus auch User-IDs, gehashte Passwörter und E-Mails erbeutet zu haben und untermauert dies mit im Darknet veröffentlichten Stichproben aus dem Datensatz. Wie viele Kundendaten betroffen sind, ist bisher unklar.
TFS empfiehlt seinen Kundinnen und Kunden, sich mit ihrer Bank in Verbindung zu setzen, um zusätzliche Sicherheitsvorkehrungen zu treffen, Online-Konten mit einer Zwei-Faktor-Authentifizierung auszustatten, ungewöhnliche Aktivitäten zu überwachen und eine aktuelle Bonitätsauskunft bei der Schufa einzuholen.
Toyota hat nach eigenen Angaben gemäß den Anforderungen der Datenschutz-Grundverordnung den zuständigen Landesdatenschutzbeauftragten für Nordrhein-Westfalen über den Vorfall informiert.
Einzug von Leasingraten und Auslieferung von Leasingfahrzeugen betroffen
Die Erpressergruppe Medusa hatte nach der Attacke im November eine Lösegeldsumme in Höhe von 8 Millionen US-Dollar von Toyota gefordert, die innerhalb von acht Tagen gezahlt werden sollte, um die Daten herunterladen zu können. Im Falle einer Zahlung durch TFS hatten die Kriminellen angekündigt, die Daten zu löschen.
Der Angriff beeinträchtigte diverse der Finanzdienstleistungen des Autoherstellers. So konnten unter anderem keine Leasingraten eingezogen und auch keine Leasingfahrzeuge ausgeliefert werden. Seit dem 1. Dezember werden die Systeme laut Toyota schrittweise wieder hochgefahren.
Spekulationen über Einstiegspunkt in Deutschland
Die Methode, mit der die Angreifer in die IT-Systeme von TFS eindringen konnten, bleibt Gegenstand der Spekulation. Ein Sicherheitsexperte vermutete auf X, dass die Schwachstelle CitrixBleed (CVE-023-4966) in Netscaler ADC und Gateway ausgenutzt wurde, insbesondere durch ein veraltetes Citrix Gateway Endpoint im deutschen Büro von TFS, das seit August 2023 nicht aktualisiert wurde. Diese Art von Schwachstellen wurde bereits von anderen Ransomware-Gruppen genutzt, um in die IT-Systeme von Unternehmen einzudringen, was die Ernsthaftigkeit des Vorfalls unterstreicht.
(vza)