Gestohlene PwC-Datensätze für Missbrauch von Click&Buy benutzt [Update]
Der Datendiebstahl war möglich, weil PwC die Bewerberdaten aus vergangenen Jahren aufbewahrte und die Passwörter in der Datenbank unverschlüsselt abgespeichert hatte.
- Daniel Bachfeld
Nach Angaben des ZDF wurden die aus einer Bewerberdatenbank der Unternehmensberatung PricewaterhouseCoopers (PwC) gestohlenen Bewerberdatensätze für Angriffsversuchen auf die Zahlungsdienstleister Moneybookers und Click&Buy missbraucht. Betroffen sollen rund 13.000 Datensätze von Kunden des Mail-Dienstes GMX und 12.000 Adressen von Web.de-Nutzern sowie [Update]3300 Adressen von Hotmail, 2700 Yahoo-Adressen und rund 2200 Adressen von T-Online-Kunden [/Update]sein. Abschließend konnte PwC allerdings laut Pressesprecher Oliver Heieck immer noch nicht feststellen, wie viele Datensätze abhanden gekommen sind. Es soll sich aber um mehrere Zehntausend handeln, soweit die Betroffenen bekannt sind, seien inzwischen von PwC informiert worden.
Die große Zahl der Daten kam offenbar zustande, weil PwC die Bewerberdaten aus vergangenen Jahren auch bei längst abgeschlossenen Verfahren aufbewahrt hatte – was der Datenschutzerklärung des Unternehmens widersprechen soll. Beim Diebstahl machte PwC es den Hackern wohl zudem unnötig leicht: die Passwörter waren in der Datenbank unverschlüsselt abgespeichert.
Um auf Konten bei den genannten Zahlungsdienstleister zuzugreifen probierten die Kriminellen laut WISO einfach E-Mail-Adressen und Passwörter durch. Ein Schutzmechanismus gegen Brute-Force- und ähnliche automatisierte Angriffe etwa bei Moneybookers wurde dabei umgangen. Nach Meinung von Wiso gingen die Angreifer davon aus, dass viele Internet-Nutzer für verschiedene Dienste dieselbe Kombination aus E-Mail-Adresse und Passwort benutzen.
Nach einer Wiso-Umfrage unter den Betroffenen sollen die Angreifer damit gar nicht so schief liegen: Rund 2000 von ihnen hatten an einer Web-Umfrage teilgenommen, wovon 80 Prozent angaben, dasselbe Passwort für weitere Internet-Angebote genutzt zu haben. Etwa 50 Prozent der Betroffenen sollen den Zugang zum E-Mail-Postfach mit dem gestohlenen Passwort gesichert haben.
Siehe dazu auch:
- ZDF warnt 56.000 Anwender vor gestohlenem Passwort, Meldung auf heise Security
(dab)
