Kreditkartendaten verschlüsselt
Sony hat Montagabend einen zweiten Datendiebstahl einräumen müssen. Nach dem ersten bekanntgewordenden Diebstahl von Kreditkartendaten von Kunden hatte Sony bezüglich dieser Daten vergangene Woche Teilentwarnung gegeben. Diese entwendeten Daten seien verschlüsselt und die CVV2-Sicherheitszahlen auf der Rückseite der Karten gar nicht gespeichert gewesen.
Dieser Artikel ist älter als ein Jahr.
Laut „New York Times“ kursieren Hinweise auf die entwendeten Datensätze bereits in einschlägigen Foren. Wenn der Angreifer die Kreditkartendaten gestohlen hat, müsste er also erst die Verschlüsselung knacken - und auch dann sind die Daten ohne den CVV2-Code von ihm nur von stark eingeschränktem Nutzen. Laut dem US-Magazin „Wired“ könnte die Verschlüsselung für Sony auch ein wichtiges Argument bei der Abwehr der anstehenden Sammelklagen der User sein, denn das Unternehmen habe damit die Sicherheitsstandards der US-Bezahlkartenindustrie wohl eingehalten.
„Das passt zu den uns vorliegenden Informationen“, so Angela Szivatz, Sprecherin des führenden österreichischen Kreditkartendienstleisters PayLife am Freitag gegenüber ORF.at. „Bisher liegt uns noch keine einzige Meldung vor, die sich auf den Sony-Fall hätte zurückführen lassen.“ Bei nachweisbarem Missbrauch der Kreditkarte haftet das Kartenunternehmen.
Zu früh für Entwarnung
Für eine generelle Entwarnung ist es aber noch zu früh. Allein die gestohlenen Datensätze mit detaillierten Informationen über 77 Millionen User - 410.000 allein in Österreich - könnten für sehr gezielte Phishing-Attacken auf die Nutzer missbraucht werden. Diese Daten, darunter Passwort, Name, Alter und Adresse der User, waren nicht verschlüsselt.
Nach dem Angriff auf Sony kursieren in Untergrundforen im Internet Berichte, dass die Angreifer trotz allen Sicherheitsvorkehrungen auch Kreditkartennummern stehlen konnten. Das berichtete die „New York Times“ am Donnerstag und berief sich auf mehrere Sicherheitsexperten, ohne das selbst verifizieren zu können. Die Kommentare in den Untergrundforen deuteten darauf hin, dass die Angreifer eine umfangreiche Datenbank in ihren Händen hätten, hieß es in einem Blog der „New York Times“. Sie enthalte nicht nur Kundennamen, Adressen, Nutzernamen und Passwörter, sondern auch bis zu 2,2 Millionen Kreditkartennummern.
Sony wies nochmals darauf hin, dass das Unternehmen die User keinesfalls über Mail zur Eingabe persönlicher Daten oder gar des Kreditkarten-Sicherheitscodes auffordern werde, die Nutzer sollten wachsam gegenüber Betrugsversuchen sein und ihre Kreditkartenrechnungen genau prüfen.
Passwort ändern
Die registrierten Nutzer würden beim Login dazu aufgefordert, ihr Passwort zu ändern.
„Wired“-Redakteur und Ex-Cracker Kevin Poulsen weist auch darauf hin, dass die Angreifer während ihres lange unentdeckten Verweilens in den Sony-Systemen vom 17. bis zum 19. April auch frisch eingegebene Kreditkartendaten noch vor der Verschlüsselung abgefangen haben könnten.
Sony hat das System am 19. April deaktiviert, ist aber erst am 26. April mit dem Problem an die Öffentlichkeit gegangen. Bisher seien aber auch in den USA keine Fälle aufgetreten, die sich eindeutig auf den Einbruch bei Sony hätten rückführen lassen.
Erste Sammelklage in den USA
Teuer kommt den Konzern der Fall laut Schätzungen von US-Analysten so oder so. Laut einem Bericht der Nachrichtenagentur Reuters wird der Datenklau Sony über 1,5 Milliarden US-Dollar (1,01 Mrd. Euro) kosten, am Donnerstag wurde in den USA bereits die erste Sammelklage gegen Sony eingereicht.
Auf die US-Kreditkartenfirmen kämen Kosten in Höhe von rund 300 Millionen Dollar für Herstellung und Versand von Ersatzkreditkarten zu, dies werde die Branche aber leicht verkraften.
Mangel im Datenschutzrecht
Vor allem in Deutschland wurden nach Bekanntwerden des Falls energische Forderungen nach einer Reform des Datenschutzrechts laut, damit internationale Konzerne für Verstöße wirksam in die Pflicht genommen werden können. So wies der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert darauf hin, dass in solchen Fällen maximal ein Bußgeld in Höhe von 300.000 Euro verhängt werden könne und man die Unternehmen mit Sitz außerhalb der EU auch nicht dazu zwingen könne, die Strafe dann auch zu zahlen.
Von den Datendieben selbst fehlt bisher noch jede Spur, von Sony beauftragte Forensiker und US-Fahnder ermitteln. Dass es sich um eine Machtdemonstration aus dem Umfeld der Fun-Hacker-Truppe Anonymous gehandelt haben könnte, wie nach Bekanntwerden des Falls gemutmaßt wurde, kann mangels entsprechender Bekennermeldung mittlerweile ausgeschlossen werden. Es ist damit wahrscheinlich, dass es sich bei den Eindringlingen um professionelle Identitätsdiebe gehandelt hat.
Links:
