Datenleck: Verivox von MOVEit-Lücke betroffen

In der Datenaustausch-Software MOVEit Transfer des Herstellers Progress klaffen bekannte Sicherheitslücken. Angreifer haben beim Preisvergleichsportal Verivox die Schwachstellen missbraucht, um unter anderem schützenswerte, personenbezogene Daten von Nutzern zu kopieren.

Mit einem Eintrag auf der Unternehmenswebseite informiert Verivox über den Cyber-Vorfall. Verivox sei am 31. Mai über die kritische Sicherheitslücke in MOVEit Transfer informiert worden und habe umgehend die MOVEit-Umgebung vom Netz genommen. Eine daran angeschlossene forensische Untersuchung kam zu dem Ergebnis, dass vor der Abschaltung unbefugt und unerlaubt Daten unter Ausnutzung der Sicherheitslücke entwendet wurden.

Verivox: Personenbezogene Nutzerdaten abgeflossen

Das Unternehmen führt weiter aus, dass auch personenbezogene Daten von Nutzerinnen und Nutzern unter den kopierten Daten seien. "Was wir zum jetzigen Zeitpunkt wissen, ist, dass vor allem personenbezogene Daten, die eine E-Mail-Adresse enthalten, betroffen waren (Name, Adresse, E-Mail-Adresse). In bestimmten Fällen waren auch Bankverbindungsdaten betroffen (Name, Adresse, E-Mail-Adresse, IBAN)", erklärt Verivox in der Kundeninformation.

Weiter führt das Unternehmen aus: "Wir haben die Behörden umgehend über den Datenverlust in Kenntnis gesetzt und aktuell erfolgt eine umfassende forensische Prüfung des Vorfalls sowie der entwendeten Daten mithilfe externer Spezialisten. Den betroffenen Server haben wir ohne die Dateiübertragungssoftware MOVEit Transfer komplett neu aufgesetzt und unsere strengen Sicherheitsmaßnahmen nochmals verstärkt".

Für weitere Maßnahmen beruft Verivox sich auf BSI-Empfehlungen, um etwa zu prüfen, ob die Daten bei einem Datenleck öffentlich aufgetaucht sind. Dazu verweist das Unternehmen auf den Identity Leak Checker vom Hasso-Plattner-Institut sowie das Have-I-been-pwned-Projekt. Dass dort bereits jetzt Daten auftauchen, die Cyberkriminelle bei Verivox kopiert haben, ist jedoch unwahrscheinlich. Die Drahtzieher würden damit ihre Erpressungsgrundlagen verspielen.

Weiterhin empfiehlt Verivox, Kontobewegungen und Kreditkartenabrechnungen im Auge zu behalten und die eigene Bank über den Vorfall informieren. Bei verdächtigen Aktivitäten sollten Betroffene umgehend ihre Bank kontaktieren. Für Rückfragen hat Verivox eine E-Mail-Adresse sicherheit@verivox.de eingerichtet. Ob betroffene Kunden noch individuell informiert werden oder ob der Hinweis auf der Webseite ausreichen soll, ist derzeit unklar.

Zuletzt hatte Progress eine dritte kritische Sicherheitslücke innerhalb nur einiger Tage in MOVEit Transfer mit Aktualisierungen gestopft, wie zum vergangenen Wochenende bekannt wurde. Die Cybergang Cl0p, die mit einer der Schwachstellen bereits seit rund zwei Jahren experimentierte, hat offenbar massenhaft dadurch sensible Unternehmensdaten bei zahlreichen Anbietern kopieren können. Ende vergangener Woche hatten die Cyberkriminellen damit angefangen, Namen betroffener Unternehmen auf ihrer Webseite zu nennen, um den Druck auf diese zu erhöhen. Cl0p erpresst Lösegeld im Gegenzug dafür, die Daten nach Zahlung angeblich zu löschen.

(dmk)