Es könnte einer der größten Datendiebstähle in der Geschichte der USA sein: Ein unbekannter Hacker hat Informationen von Kunden von Banken, Bildungseinrichtungen und Drogerieketten offengelegt und damit zahlreiche Unternehmen in Erklärungsnot gebracht.
Citibank-Filiale in Kalifornien: Über Subunternehmer Mailadressen abgegriffen.
(Foto: AP)Der Hacker drang offenbar in das Datensystem des Online-Händlers Epsilon ein, um dort Kundendateien zu durchforsten. Dabei kopierte er offenbar Kundendaten mehrere US-Unternehmen. Bislang ist bekannt, dass unter anderem die Finanzunternehmen JPMorgan und Citigroup, die Drogeriekette Walgreen, das Teleshopping-Unternehmen HSN, der Einzelhändler Best Buy und der Videoaufnahmedienst Tivo betroffen sind.
Auch Daten von College Board, einer Prüfungskommission für etwa 5900 Bildungseinrichtungen und sieben Millionen Studenten, wurden entwendet.
Der Hacker habe sich Zugriff auf E-Mail-Adressen und Hausanschriften verschafft, jedoch nicht auf persönliche oder finanzielle Informationen, heißt es bei den betroffenen Unternehmen. Die Firmen teilten nicht mit, wie viele Kunden betroffen waren. Epsilon erklärte, Ermittlungen seien aufgenommen worden.
Noch ist unklar, ob weitere Firmen von dem Datenraub betroffen sind. Epsilon, eine Tochter von Alliance Data Systems, verschickt jährlich mehr als 40 Milliarden Werbeangebote per E-Mail.
Spam und Phishing drohen
Dabei greift das Unternehmen auf die Informationen von Kunden zurück, die sich auf den Internetseiten der Firmen angemeldet oder beim Einkaufen ihre Adresse hinterlassen haben. Mit Epsilon arbeiten unter anderem Verizon, Blackstone und AstraZeneca zusammen.
Die gestohlenen E-Mail-Adressen und Namen könnten nun für den Versand von Spam oder für Phishing-Attacken genutzt werden. Einige der Unternehmen haben ihren Kunden bereits vor per Mail verschickte Links auf gefälschte Firmenseiten gewarnt.
Der Vorfall dürfte einmal mehr zu einer Diskussion über die IT-Sicherheit von Subunternehmern führen. Erst vor wenigen Wochen konnte sich ein Hacker Zugriff auf Sicherheitszertifikate für Seiten wie Google und Yahoo verschaffen, weil er offenbar in die Datenbank des Partnerunternehmens eines Zertifikate-Anbieters eindringen konnte.
Die Kunden von Citigroup und Co dürften solche Details jedoch nicht interessieren: In ihrer Wahrnehmung hat nicht Epsilon die Daten verloren, sondern das Unternehmen, bei dem sie diese hinterlassen haben.