Dell reagierte nicht auf Warnung vor Diebstahl von Kundendaten
Während ein Angreifer über eine API von Dell Kundendaten abgriff, schickte er Mails an das Unternehmen. Das reagierte erst, als die Daten veröffentlicht wurden.
- Nico Ernst
Über verschiedene US-amerikanische Medien hat sich eine Person mit dem Pseudonym "Menelik" zum aktuellen Datendiebstahl bei Dell zu Wort gemeldet. Menelik gibt an, die rund 49 Millionen Datensätze des Unternehmens ausgeleitet zu haben, die er kürzlich auch im digitalen Untergrund auszugsweise veröffentlicht und im Ganzen zum Kauf angeboten hat.
Wie der Angreifer offenbar unabhängig voneinander TechChrunch und Bleeping Computer sagte, erfolgte die teilweise Preisgabe der Informationen, nachdem Dell auf mehrere seiner Mails nicht reagierte. TechCrunch gibt an, Screenshots der Mails gesehen zu haben, ein Dell-Sprecher bestätigte, dass diese eingegangen waren. Insgesamt lief der Angriff über einen Zeitraum von drei Wochen, während derer Menelik Dell mehrfach kontaktierte.
Automatisierter Datenklau per API
Er hatte in einem nicht näher beschriebenen Onlineportal für Vertriebspartner von Dell eine Lücke entdeckt. Durch die war es ihm möglich, automatisch Kundendaten abzurufen, und zwar mit über 5000 Anfragen pro Minute, eine technische Beschränkung dafür gab es nicht. Zuvor hatte er sich mehrere Partneraccounts angelegt, die Dell offenbar nicht genau geprüft hatte. Wie Menelik Bleeping Computer sagte, konnte er fiktive Firmen angeben, nach ein bis zwei Tagen erfolgt die Freischaltung.
Menelik lieferte Bleeping Computer auch eine Aufstellung der Geräte, welche die von ihm eingesehenen Kunden gekauft hatten. Darunter waren rund 22 Millionen Monitore, 11 Millionen Inspiron-Notebooks, 4 Millionen Latitude-Notebooks, 5 Millionen Optiplex-PCs, sowie je rund 800.000 Poweredge-Server und Precision-Workstations. Das deutet darauf hin, dass auch etliche größere Firmen unter den Kunden waren, die Dell nicht ausreichend geschützt hatte.
Neben der Offenlegung von solchen Stückzahlen ist vor allem die Preisgabe von realen Daten von Personen ein Problem solcher Lücken. In seiner ersten Reaktion warnte Dell zu Recht vor Versuchen des Identitätsdiebstahls. Neben 11 Millionen Firmendatensätzen sind in den geklauten Informationen auch die Angaben mit Name und Postadresse von sieben Millionen einzelnen Personen. Welche Länder das betrifft, ist bisher nicht bekannt.
(nie)