(UPDATE) Vodafone Datenklau – 2 Millionen betroffene, ein Bekennerschreiben und was man tun kann

Es wurde gestern bekannt, dass Vodafone Opfer eines Datenklau geworden ist. Es sollen insgesamt 2 Millionen Kunden davon betroffen sein. 6,25% der Kunden von Vodafone sind das. Dies klingt erst einmal wenig, dennoch ist das eine gewaltige Menge. Hier zu den betroffenen Kunden zu gehören ist leider nicht schwer – und auch ich darf mich dazu zählen.

Vodafone-Logo

Dabei erlangte der Täter Zugang zu Stammdaten von 2 Millionen Personen. Er entwendete Angaben zu Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer. Sicher ist, dass der Täter keinen Zugang zu Kreditkarten-Daten, Passwörtern, PIN-Nummern, Mobiltelefonnummern oder Verbindungsdaten hatte. Hoffen wir es zumindest. Ich persönlich bin zwar seit über einem Jahr kein Kunde mehr, dennoch liegen dort ja auch meine vertraulichen Daten auf den Servern.

Eine gute Nachricht muss man hier aber nachlegen: Kunden, die über einen Drittanbieter auf das Vodafone-Netz zugreifen, wie z. B. Kunden von mobilcom-debitel, sind DEFINITIV NICHT vom Datenklau betroffen. Die Daten liegen in einem mobilcom-debitel Rechenzentrum und sind mit höchsten Sicherheitsmaßnahmen geschützt.

Aber die Hacker haben sich auch schon dazu geäußert, dass die Daten nie an die Öffentlichkeit gelangen sollten.

Brief

Statement der angeblichen Hacker:

Wie bereits in den Medien berichtet enthalten die Datenstämme jedoch neben den dort angegebenen Daten „Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer“ aber auch noch den Inhaber des Kontos (muss nicht immer Identisch mit dem Vertragsnehmer sein, wie wir feststellen
mussten), die jeweilige Handynummer des Kunden sowie die Anrede des Kunden (Herr/Frau/Firma). Auch haben wir bei einigen Kunden Vermerke gefunden wie z.B. „steht unter gesetzlicher Betreuung, gesetzliche Betreuerin ist Name/Adresse ect.“ oder dergleichen!!

Abweichend möchten wir auch ausführen, dass die von uns geleakten Daten keinesfalls „nur mit hoher krimineller Energie sowie Insiderwissen“ zu erlangen waren, indem wir in „die tief versteckt in der IT-Infrastruktur“ von Ihnen eingedrungen sein sollen!!

Wir haben die Daten auf einem, echt schlecht gesicherten Server, ohne weiteren Suchaufwand gefunden!! Der von Ihnen bzw. der Polizei vorgeführte Tatverdächtige hat absolut gar nichts mit dem Leak und dem Angriff auf Sie zu tun! Es ist ausschließlich sein Computer gewesen, welcher mit
entsprechender Schadsoftware von uns bei einem Besuch infiziert und dann als Zugang missbraucht wurde!! Er war und ist ausschließlich Mittel zum Zweck gewesen. Es wurde der Moment genutzt, als er nicht aufpasste und sich einem anderen Kunden widmete. Die notwendigen „Babys“ wurden mittels
USB-Stick ganz einfach innerhalb von 1-2 Minuten auf dem Computer installiert und fertig.

Wir hoffen, dass derjenige nicht zu sehr bestraft wird, da er wirklich nichts dafür kann! Wir haben nur Ihn ausgenutzt und die geleakten Daten auf seinem Computer zwischengespeichert, bevor wir die Daten im Hintergrund uns selbst übertragen haben.

Auch die Frage nach dem Warum erklären die vermeintlichen Hacker:

In erster Linie wollten wir Vodafone damit zeigen, was es heißt, wenn Daten ungesichert auf einem Server gelagert werden wo jeder Mitarbeiter (was ja nichtmal einer von Vodafone war, sondern nur ein Subunternehmer) Zugriff hat. Es ist zu keinem Zeitpunkt geplant gewesen, die Daten ins Internet zu stellen und so diese in die falschen Hände gelangen zu lassen. Uns ist jedoch beim Download aufgefallen, dass die Daten öfters heruntergeladen wurden, als wir Personen in unserem Team sind, nämlich insgesamt 5 Mal! Jeder von uns (3 Personen) hat diese Datei 1x erhalten, sodass 2 weitere Personen diese wohl erhalten und weiterverbreitet haben, sodass diese mittlerweile im Dark- und Internet mit ein bisschen suchen zu finden sind.

Der in den Medien als tatverdächtig genannte Mensch soll unschuldig sein:

Wir versichern hiermit nochmal eidesstattlich, dass der in den Medien genannte „Tatverdächtige“ keinesfalls vorsätzlich oder wissentlich an der Aktion mitgewirkt hat. Sollte er gestehen, so tut er es, weil er sicher Angst vor der Justiz hat und nicht weil er sich einer günstigeren Strafe entgegen sieht!! Er hat nichts damit zu tun!

 TIPPS FÜR BETROFFENE:

Tipp 1: Passwörter ändern, Facebook-Profile deaktivieren

Alle Betroffenen sollten sofort ihre Passwörter ändern – auch, was ihre E-Mail-Konten und die sozialen Netzwerke anbelangt. Profile etwa auf Facebook sollten auf nicht-öffentlich umgeschaltet werden. Ansonsten finden die Kriminellen darin leicht zusätzliche persönliche Informationen, die ihnen bislang fehlen.

Tipp 2: Nicht auf Pishing-Mails reinfallen

Ganz wichtig ist es, jetzt nicht auf Phishing-Mails hereinzufallen. Wenn E-Mails eintreffen, die seriös aussehen, und darum bitten, persönliche Daten oder gar Bankdaten auf einer Homepage zu ‘verifizieren’, dann ist das immer ein Versuch, diese Daten zu erheben, um sie in betrügerischer Weise zu verwenden.

Tipp 3: Eigene Konten regelmäßig kontrollieren

Wichtig ist es auch, das eigene Konto im Auge zu behalten. So können unerwartete Abbuchungen sofort feststellt und zeitnah bei der Bank gemeldet werden.

Quellen: (via), Brief von Vodafone

UPDATE:

Wie nun auch mir via Twitter versichert wurde, wurden keine Mobilfunknummer entwendet. Hoffen wir, dass sich das ganze schnell aufklärt und kein Schund mit den Daten angefangen wird. Da ich selbst auch betroffen bin, werde ich hier am Ball bleiben.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .