Equifax: Hackerangriff betrifft auch bis zu 400.000 britische Nutzer

Equifax hat bestätigt, dass im Rahmen des kürzlich gemeldeten Hackerangriffs auch Daten von bis zu 400.000 britischen Verbrauchern kompromittiert wurden. Bisher hatte das Credit-Scoring-Unternehmen lediglich Zugriffe auf wenige persönliche Informationen von US und kanadischen Bürgern eingeräumt. Aufgrund eines „Verarbeitungsfehlers“ befanden sich auf den US-Servern auch Daten von zahlreichen britischen Kunden.

Die britische Niederlassung von Equifax betonte, sie sei nicht von dem Angriff betroffen. Die Netzwerke der US-Mutter und der Tochter in Großbritannien seien nicht miteinander verbunden. Aufgrund des Fehlers seien jedoch zwischen 2011 und 2016 Daten britischer Konsumenten in den USA gespeichert worden. Die Datenbank enthalte unter anderem Namen, Geburtsdaten, E-Mail-Adressen und Telefonnummern. Anschriften, Passwörter und Finanzdaten hätten jedoch nie das Vereinigte Königreich verlassen.

Aufgrund der Art der durchgesickerten Daten seien Identitätsdiebstähle der Betroffenen in Großbritannien eher unwahrscheinlich. Trotzdem biete man den fraglichen Kunden einen umfassenden Identitätsschutz an, der es ihnen erlaube, ihre persönlichen Daten zu überwachen, und sie über mögliche Anzeichen für betrügerische Aktivitäten informiere. Zudem seien die britische Datenschutzbehörde Information Commissioner’s Office sowie die Financial Conduct Authority eingeschaltet worden.

Equifax feuert Manager

In den USA führte der massive Datenverlust, der 143 Millionen US-Bürger und damit fast die Hälfte der US-Bevölkerung betrifft, zu ersten personellen Konsequenzen. Equifax kündigte am vergangenen Freitag in einer Pressemitteilung die Entlassung des Chief Information Officer sowie des Chief Security Officer mit sofortiger Wirkung an.

Den Job von CIO David Webb übernimmt bis auf weiteres Mark Rohrwasser, der bisher für die internationale IT-Organisation von Equifax verantwortlich war. CSO Susan Mauldin wiederum wird durch Russ Ayres ersetzt, der zuletzt die Position eines Vice President in der IT-Organisation von Equifax bekleidete. Er ist nun direkt dem neuen CIO Mark Rohrwasser unterstellt.

MarketWatch weist indes darauf hin, das Chief Security Officer Susan Mauldin möglicherweise nicht über die für ihren Job benötigte fachliche Ausbildung verfügte. Ihrem inzwischen auf „privat“ gesetztem LinkedIn-Profil zufolge habe die Managerin einen Master-Abschluss in Musikkomposition der University of Georgia. Danach habe sie allerdings 14 Jahre Berufserfahrung in der Privatwirtschaft gesammelt – bei welchen Unternehmen und in welchen Positionen lässt sich zumindest anhand ihres LinkedIn-Profils nicht mehr nachvollziehen.

Tatsächlich deuten die Vorfälle rund um das Unternehmen auf fehlende fachliche Qualifikation in Sachen IT-Sicherheit hin. In Argentinien gab es eine inzwischen vom Netz genommene Webseite für Equifax-Mitarbeiter, die mit den oft voreingestellten Zugangsdaten „admin“ und „admin“ zugänglich war. Auch eine speziell für vom Datendiebstahl betroffenen Kunden gedachte Info-Seite entsprach nicht gängigen IT-Standards.

[mit Material von Steve Ranger, ZDNet.com]

Tipp: Wie gut kennen Sie die Chefs der IT-Firmen? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.