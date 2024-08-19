Um den 8. April 2024 wurden die Daten von Milliarden von Menschen im Dark Web veröffentlicht – infolge eines einzigen Datenlecks im nationalen öffentlichen Datenarchiv. Viele der Opfer sind sich ihrer Exposition jedoch immer noch nicht bewusst, da sie noch keine Benachrichtigung oder Erklärung von der Firma erhalten haben.
Kürzlich reichte eines der Opfer eine Sammelklage ein, nachdem es durch eine Benachrichtigung eines Anbieters von Identitätsschutzdiensten erfahren hatte, dass seine Daten kompromittiert worden waren. Was bedeutet das für Menschen, deren Daten unwissentlich im Dark Web verkauft wurden?
National Public Data, im Besitz von Jerico Pictures, Inc., sammelt Daten als in Florida ansässiges Unternehmen für Hintergrundüberprüfungen. Die in den Datenbanken von National Public Data enthaltenen Verbraucher stimmten nicht zu, ihre Daten an das Unternehmen weiterzugeben.
Laut der Klage von Christopher Hofmann hat eine Cyberkriminellen-Gruppe namens USDoD eine Datenbank mit den privaten Daten von 2,9 Milliarden US-Bürgern, darunter vollständige Namen, Sozialversicherungsnummern und Adressen, im Dark Web veröffentlicht. Die Daten enthielten auch Informationen über die Angehörigen der Personen. Eine Besonderheit der Daten war ihre Langlebigkeit – die Adressen umfassten Jahrzehnte des Wohnens, und einige Verwandte sind bereits seit bis zu zwei Jahrzehnten verstorben.
Die Hackergruppe setzte einen Kaufpreis von 3,5 Millionen USD in die Datenbank. VX-Underground, eine auf Cybersicherheit spezialisierte Bildungswebsite, bestätigte, dass die Informationen in der 277,1 GB großen Datenbank echt und korrekt sind, nachdem sie von der Gruppe über deren Absicht informiert worden war, die Datenbank zu veröffentlichen. Da National Public Data nicht an die CIRCIA-Anforderungen für kritische Infrastrukturen gebunden ist, war das Unternehmen nicht verpflichtet, den Verstoß innerhalb von 72 Stunden zu melden.
„Diese unverschlüsselten und ungeschwärzten personenbezogenen Daten wurden kompromittiert, veröffentlicht und anschließend im Dark Web verkauft, da der Beklagte fahrlässig und/oder unachtsam gehandelt und unterlassen und die sensiblen Daten seiner Kunden völlig nicht geschützt hat.“ Hacker haben die personenbezogenen Daten des Klägers und der Mitglieder der Sammelklägergruppe gezielt angegriffen und erlangt, da diese für die Ausnutzung und den Identitätsdiebstahl des Klägers und der Mitglieder der Sammelklägergruppe von großem Wert sind. Das gegenwärtige und andauernde Risiko für die Opfer der Datenschutzverletzung wird für deren jeweilige Lebenszeit bestehen bleiben“, heißt es in der Klage.
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Die Behörde National Public Data hat nicht nur die Opfer nicht informiert, sondern in Bezug auf den Verstoß auch keine öffentliche Erklärung abgegeben. . Die Los Angeles Times berichtete, dass das Unternehmen auf E-Mail-Anfragen mit „Wir sind uns bestimmter Behauptungen Dritter über Verbraucherdaten bewusst und untersuchen diese Angelegenheiten“ geantwortet habe. In der Klage wird die fehlende Benachrichtigung als eines der Hauptanliegen des Klägers genannt.
In der Klage forderte Hofmann von National Public Data bestimmte Maßnahmen, darunter auch eine finanzielle Entlastung. Er forderte, dass National Public Data alle kompromittierten personenbezogenen Daten löscht. Darüber hinaus möchte er, dass das Unternehmen künftig alle Daten verschlüsselt, Datensegmentierung verwendet, seine Datenbanken durchsucht und ein Bedrohungsmanagementprogramm startet. Darüber hinaus wünscht er sich, dass bis 2034 jährlich eine Evaluierung des Frameworks der Cybersicherheit durchgeführt wird.
Obwohl die Details noch nicht vollständig bekannt sind, scheint es sich hierbei um die größte – oder eine der größten – Datenverletzungen aller Zeiten zu handeln. Da die Yahoo-Datenschutzverletzung 2013 3 Milliarden Konten umfasste und die Datenschutzverletzung offenbar 2,9 Milliarden Menschen betrifft, könnte Yahoo den Rekord immer noch halten, auch wenn sich der Staub nach diesem jüngsten Verstoß gelegt hat. Die bisherigen Zweit- und Drittplatzierten werden nach diesem Rekorddurchbruch auf die Plätze drei und vier verschoben. Die Verletzung von River City Media im Jahr 2017 betraf 1,37 Milliarden Datensätze, während die Verletzung von Aadhaar im Jahr 2018 1,1 Milliarden umfasste.
Während Experten die Entscheidung in dieser Angelegenheit vorhersagen, ziehen viele zum Vergleich die Ereignisse der Vergangenheit heran. In einer ähnlichen Klage gegen Yahoo lehnte die US-Bezirksrichterin Lucy Koh Yahoos Vergleich zur Auszahlung von 200 Millionen betroffenen Personen mit fast 1 Milliarde Konten im Jahr 2019 ab. Koh lehnte das Vergleichsangebot aus folgenden Gründen ab:
Verbraucher sollten die aktuelle Situation weiter beobachten, um zu erfahren, ob ihre Daten missbraucht wurden. Vorsichtshalber sollten Einzelpersonen ihre Kreditberichte und Bankkonten sorgfältig überwachen und nicht auf unaufgeforderte Informationen oder Kontoanfragen reagieren.
„Wenn dies tatsächlich so ziemlich das gesamte Dossier über uns alle ist, dann ist das sicherlich viel besorgniserregender als frühere Datenschutzverletzungen“, sagte Teresa Murray, Direktorin der Verbraucherschutzabteilung der US Public Information Research Group, gegenüber der Los Angeles Times. „Und wenn die Menschen in der Vergangenheit keine Vorsichtsmaßnahmen getroffen haben, was sie hätten tun sollen, sollte dies ein absoluter Weckruf für sie sein.“
Um zu erfahren, wie IBM X-Force Ihnen bei allem rund um Cybersicherheit helfen kann, einschließlich Incident Response, Threat-Intelligence oder offensiven Sicherheitsdiensten, vereinbaren Sie hier ein Treffen.
Wenn Sie Cybersicherheitsprobleme oder einen Vorfall haben, kontaktieren Sie X-Force für Hilfe: US-Hotline 1-888-241-9812 | Globale Hotline (+001) 312-212-8034.