Riesiges Datenleck bei Autovermietung: Phishing-Warnung

  • Blog

Wie die c’t und die ZEIT heute bekannt gaben, lagen drei Millionen Datensätze von Kunden der Autovermietung Buchbinder bis Montag über mehrere Wochen offen im Netz. Drei Millionen Führerschein-Nummern inkl. Namen, sowie teilweise Zahlungsdaten, Privatadressen, Geburtsdaten, Mobilnummern, Firmenzugehörigkeit und E-Mail-Adresse, aber auch Unfallberichte, sind dadurch vermutlich in falsche Hände gelangt. Seit 2017 ist die Firma Teil der französischen Europcar Mobility Group.


Vom Datenleck betroffen sind u. a. auch bekannte Persönlichkeiten, Politikerinnen und Politiker sowie Journalistinnen und Journalisten. Zudem gibt es beispielsweise 2000 Datensätze von Mitarbeiterinnen und Mitarbeitern von Bundesämtern, darunter u.a. vom Präsidenten des Bundesamtes für Informationssicherheit (BSI). Der Leiter des zuständigen technischen Referats beim Bayerische Landesamt für Datenschutzaufsicht spricht laut ZEIT von einer Größenordnung an personenbezogenen Daten, bei dem das Amt mit dem Runterladen nicht hinterherkomme. Die europäische Datenschutzgrundverordnung wirft ihre Schatten voraus: Der weltweite Umsatz von Europcar im Jahr 2018 betrug übrigens rund 2,9 Milliarden Euro. Für die in der EU DS-GVO besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert höher ist.

Einladung zum Spear-Phishing
Die erbeuteten Daten könnten sich auf verschiedene Arten missbrauchen lassen. Zunächst geht es um das große Geld: Angreifende könnte etwa gezielt nach Mietvorgängen von Unternehmenskunden suchen, um die persönlichen Kontaktdaten der involvierten Mitarbeiterinnen und Mitarbeiter herauszusuchen. Anschließend könnte er diese Daten nutzen, um im Namen des Mitarbeiters mit dessen Kollegen oder Chef zu kommunizieren, um sich Vertrauen zu erschleichen und sich weiter vorzuarbeiten. Die mögliche Folge: Finanzbetrug oder das Abfischen von Geschäftsgeheimnissen oder im Falle von Ministerien ggf. auch sicherheitsrelevante Informationen.

Ein Zugriff auf weitere vertrauliche Daten ist im Falle des aktuellen Datenleaks durch soziale Manipulation, also klassisches Social Engineering, möglich – ein Angriff mit gefälschten Phishing-E-Mails wahrscheinlich. Eine gefälschte E-Mail vom Vorgesetzten mit Bitte um sofortige Überweisung eines Geldbetrages würde sich durch die verfügbaren Informationen kaum von einer echten unterscheiden lassen.

Wer wissen möchte, ob die eigenen persönlichen oder die eigenen Unternehmensdaten Teil des Datenlecks sind, findet am Ende des c’t-Artikels ein Formular für eine datenschutzrechtliche Selbstauskunft - allerdings nicht als PDF, sondern als Word-Dokument in einer Zip-Datei. Eine korrekt konfigurierte Firewall, z. B. von Securepoint, sollte Ihnen das Öffnen dieser Datei zum Schutz Ihrer IT-Infrastruktur verbieten.


Quellen:

www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

www.zeit.de/2020/05/datenleck-autoverleiher-buchbinder-datensicherheit-cyberkriminalitaet



Zurück

Find dealer