US-Sozialversicherungsnummern bei Datenhändler gestohlen

Bei einem US-Datenhändler konnten Unbefugte personenbezogene Daten abgreifen. Sie sollen bereits zum Kauf angeboten worden sein.

Kriminelle haben bei dem US-Datenhändler National Public Data personenbezogene Daten wie Adressen und Sozialversicherungsnummern von US-Bürgerinnen und -Bürgern gestohlen. Das Unternehmen hat den Vorfall inzwischen bestätigt.

Bei National Public Data handelt es sich um einen US-amerikanischen Anbieter von sogenannten Background-Checks mit Sitz in Florida. Das Unternehmen verspricht etwa Firmen zu helfen, potenzielle Angestellte zu überprüfen.

Cliff Steinhauer von der Organisation National Cybersecurity Alliance erklärte gegenüber dem Sender CBS, Firmen wie National Public Data könnten Daten sammeln und verkaufen, weil es in den USA kein nationales Datenschutzgesetz gibt, dass dies verbieten würde.

Personenbezogene Daten

Wie National Public Data nun mitteilte, sollen Unbefugte im “April und Sommer 2024” Daten von den Servern des Unternehmens gestohlen haben. Der Vorfall werde derzeit noch untersucht – auch Strafverfolgungsbehörden seien eingeschaltet worden. National Public Data geht aber davon aus, dass Namen, Post- und E-Mail-Adressen, Telefonnummern sowie Sozialversicherungsnummern unter den entwendeten Daten sind.

Insbesondere Sozialversicherungsnummern sind sensible Informationen, weil sie in den USA auch als Identifikationsnachweis verwendet werden – Kriminelle könnten die Angaben daher zum Identitätsdiebstahl nutzen. Die zuständige Behörde Social Security Administration warnt, dass jedes Jahr Millionen Amerikanerinnen und Amerikaner Opfer von Identitätsdiebstahl werden. Kriminelle könnten mithilfe der Sozialversicherungsnummer auch weitere Informationen über Betroffene herausfinden.

Unklar ist bisher, wie viele Personen genau von dem Datendiebstahl betroffen sind. National Public Data macht in seiner Mitteilung keine Angaben dazu – verspricht aber, man werde “versuchen” Betroffene zu informieren.

In einer vorgeschriebenen Datenschutzmeldung an die Generalstaatsanwaltschaft des US-Bundesstaates Maine spricht das Unternehmen jedoch von 1,3 Millionen betroffenen US-Bürgern. Berichten zufolge sollen aber teils auch Daten von kanadischen und britischen Staatsbürgern in dem Datenleck enthalten sein.

Angaben des IT-Fachportals BleepingComputer zufolge, haben Kriminelle die erbeuteten Daten bereits im April zum Kauf angeboten. Sie hätten mehr als 2 Milliarden Datensätze versprochen. Das Magazin hatte darauf hingewiesen, dass mehrere Datensätze für eine Person vorhanden sind.

Wegen des Datendiebstahls wurde in den USA bereits eine Klage gegen das betroffene Unternehmen eingereicht.

Weiteres Sozialversicherungsnummern-Leck

US-Medien berichten zudem über ein Datenleck bei dem Unternehmen FlightAware, das Flugzeugbewegungen erfasst. Eigenen Angaben zufolge handelt es sich um das größte Angebot dieser Art.

In einer Mitteilung an die Generalstaatsanwaltschaft von Kalifornien gibt FlightAware an, Ende Juli einen Konfigurationsfehler entdeckt zu haben, durch den Nutzerdaten ungeschützt über das Internet zugänglich waren: Darunter Namen und Adressen von registrierten Personen. In einigen Fällen sollen darüber hinaus ebenfalls US-Sozialversicherungsnummern offen im Netz gestanden haben. Das Problem habe seit Januar 2021 bestanden.

Wie viele der rund 12 Millionen registrierten Nutzer betroffen sind, ist nicht bekannt. Auch ob die Daten von Unbefugten abgegriffen wurden, bleibt unklar. (js)