Dienstleister Experian kompromittierte Daten von 200 Millionen US-Bürgern

Hieu Minh Ngo hat sich letzte Woche vor Gericht schuldig bekannt. Er gab sich als Privatermittler aus und bekam gegen Gebühr Zugriff auf die Daten. Mit Weiterverkäufen verdiente er in 18 Monaten etwa 2 Millionen Dollar.

Gerichtsunterlagen bestätigen jetzt einen schon letztes Jahr von Sicherheitsforscher Brian Krebs veröffentlichten Bericht: Einem 24-jährigen Vietnamesen ist es demnach gelungen, an persönliche Daten von bis zu 200 Millionen US-Bürgern zu kommen, indem er sich gegenüber einer asiatischen Tochter der Wirtschaftsauskunftei Experian als Privatermittler ausgab. Als solcher konnte er Datensätze einfach gegen Gebühr einsehen.

cybersecurity_schmuckbild

Hieu Minh Ngo hat sich schuldig bekannt, wie ein wiederum von Krebs vorgelegtes Verhandlungsprotokoll (PDF) zeigt. Demnach verkaufte er Daten wie Adresse, frühere Wohnsitze, Telefonnummern, E-Mail-Adressen, Geburtsdaten und die in den USA für die Identifizierung gegenüber Behörden verwendeten Sozialversicherungsnummern an insgesamt 1300 Abnehmer, was ihm im Lauf von 18 Monaten ein Verdienst in Höhe von rund 2 Millionen Dollar brachte. Dabei gab er nach bisherigen Erkenntnissen etwa 3 Millionen Datensätze weiter.

Der US-Regierung zufolge wurden die Daten für Betrug und Betrugsversuche genutzt, unter anderem in Form vorgetäuschter Steuerrückzahlungen, mit falschen Daten eröffneter Konten und Zahlungen auf Rechnung im Namen der Betroffenen. Der Staatsanwalt erklärte dem Richter gegenüber, eine genaue Zahl der betroffenen Konten gebe es bisher noch nicht, sie werde aber bald vorliegen. Krebs glaubt aufgrund seiner Recherchen, das bis zu 30 Millionen Kundendaten tatsächlich weiterverkauft wurden.

Experian kommentiert das laufende Verfahren nicht. Vor Gericht aber sagte sein Senior Vice President Tony Hadley bei einer Vernehmung, das Unternehmen habe die gebührende Sorgfalt vermissen lassen, als es die Aktivitäten von Ngo nicht rechtzeitig unterband. Dennoch: „Wir [Experian] sind ein Opfer, und dieser Mensch hat uns betrogen.“ Die angesprochene Senatorin Claire McCaskill gab zurück: „Ich würde ja sagen, all die Menschen, die ihre Identität verloren haben, sind die wirklichen Opfer.“

Experian ist ein in 40 Ländern agierendes Unternehmen, das unter anderem Aufzeichnungen zur Kreditwürdigkeit führt, ähnlich wie die Wirtschaftsauskunftei Schufa in Deutschland. (ZDNet-Leser könnten auch die Marktforschungstochter Experian Hitwise kennen.) Ngo war bei Experians Tochter Court Ventures in Singapur vorstellig geworden, die eigentlich die Aufgabe hat, öffentlich verfügbare Daten zu sammeln. Sie gleicht aber einem Abkommen entsprechend ihre Bestände mit Info Search aus dem US-Bundesstaat Ohio aus. Diese Daten von rund 200 Millionen US-Bürgern waren es, auf die Ngo gegen eine Gebühr Zugriff bekam.

Das Urteil wird für den 16. Juni erwartet. Ngo drohen bis zu 45 Jahre Haft.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Dienstleister Experian kompromittierte Daten von 200 Millionen US-Bürgern

Kommentar hinzufügen
  • Am 12. März 2014 um 7:46 von K

    Eigentlich gehoert die Firma angeklagt weil sie die Moeglichkeit der Datensuche einem Dritten zur Verfuegung stellt.

    MFG

  • Am 12. März 2014 um 20:39 von Judas Ischias

    Die Sicherheitsvorkehrungen müssen ja wohl sehr lasch gewesen sein, wie sonst kann es sein, dass man sich einfach als Privat-
    ermittler ausgeben kann und gegen eine Gebühr alles einsehen? Wie hat er die Daten überhaupt aus der asiatischen Tochter rausbekommen? Hatte er gleich alles auf seinen mitgebrachten Laptop überspielt, oder hat er einfach einen USB-Stick anschließen können? Und das alles ohne Kontrolle dieser Firma?
    Wie K schon schrieb, eigentlich gehört diese Firma auch angeklagt, weil sie so leichtfertig mit den anvertrauten Daten umgegangen ist.

  • Am 13. März 2014 um 7:41 von punisher

    Social engineering vom feinsten. Unternehmen gehört auf jeden Fall verklagt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *