Nach Diebstahl von 1,5 Millionen Kreditkartendaten auch Nutzerdaten in Gefahr

Big DataData & StoragePolitikRechtSicherheitSicherheitsmanagement

Zahlungs-Abwickler Global Payments betätigte den Diebstahl der Daten von Millionen Visa- und Mastercard-Kunden – und räumt nun auch ein, dass Kundendaten über die Kreditkarten-Infos hinaus betroffen sein “könnten”. Sicherheitsexperten gehen sogar schon von mindestens 7 Millionen betroffenen Karteninhabern aus.

Der US-Finanzdienstleister Global Payments hat eingeräumt, dass Hacker neben den Daten von 1,5 Millionen Visa- und Mastercard-Konten möglicherweise auch persönliche Nutzerdaten stehlen konnten. Er schränkt das jedoch ein auf “persönliche Informationen, die aus einer Teilmenge von Händlerbewerbungen erfasst wurden”. Unklar sei außerdem, ob die Eindringlinge die persönlichen Informationen nur ansahen oder tatsächlich exportierten. Auf Nachfrage von News.com wollte eine Firmensprecherin keine weiteren Angaben zur Art der Nutzerdaten und der Zahl der möglicherweise betroffenen Personen machen.

Der Zahlungsabwickler beharrt zudem auf den ursprünglich gemachten Angaben zum Umfang der Sicherheitslücke, obwohl sie von Sicherheitsexperten bezweifelt werden: “Nach dem bisherigen Stand der Untersuchung glauben wir weiterhin, dass nur ein begrenzter Teil unserer nordamerikanischen Kartenverarbeitungssysteme betroffen waren, die Zahl der vielleicht tatsächlich exportierten Kartennummern nicht über 1,5 Millionen hinausging sowie potenzielle Kartenexporte auf Track-2-Daten beschränkt waren.” Die Track-2-Daten schließen die im Magnetstreifen gespeicherte Kontonummer und das Ablaufdatum ein, aber nicht die Namen, Adressen oder Sozialversicherungsnummern der Kreditkarteninhaber.

Diese Angaben hatte Global Payments bereits im April gemacht. Einen Monat später berichtete das Wall Street Journal jedoch, dass die Daten von mindestens 7 Millionen Kredit- und Debitkarten potenziell kompromittiert wurden – so gehört von “Personen, die mit der Angelegenheit vertraut sind”. Sicherheitsexperte Brian Krebs, der die Affäre ursprünglich aufgedeckt hatte, geht außerdem davon aus, dass der Hackerangriff bereits im Juni 2011 oder früher erfolgte. Der Fachinformationsdienst Bankinfosecurity datiert den Zwischenfall sogar auf Januar 2011. Global Payments hält es nach dem Stand der Untersuchung für verfrüht, über möglicherweise breitere Zeiträume “zu sprechen oder sie zu bestätigen”.

Mastercard und Visa hatten im April 2012 betroffene Kunden gewarnt und Global Payments von ihrer Liste vertrauenswürdiger Diensteanbieter gestrichen. Der Finanzdienstleister glaubt, den Zwischenfall bewältigt zu haben, und strebt die Wiederaufnahme in die Liste der “PCI Compliant Service Providers” an. Seine Tätigkeit musste er ohnehin nicht einstellen, sondern wickelte weiterhin Zahlungen ab.

“Wir entschuldigen uns aufrichtig für diesen Zwischenfall und arbeiten sorgfältig daran, unsere Untersuchung zum Abschluss zu bringen”, heißt es in einer Erklärung von Chairman und CEO Paul R. Garcia. “Wir engagieren uns für die restlose Aufklärung aller sich daraus ergebenden Fragen und sorgen natürlich weiterhin für die ununterbrochene Zahlungsabwicklung unserer weltweiten Kunden.”

[mit Material von Elinor Mills, News.com]

(Bildquelle: alphaspirit – Fotolia.com )