Dienstleister Experian kompromittierte Daten von 200 Millionen US-Bürgern

Gerichtsunterlagen bestätigen jetzt einen schon letztes Jahr von Sicherheitsforscher Brian Krebs veröffentlichten Bericht: Einem 24-jährigen Vietnamesen ist es demnach gelungen, an persönliche Daten von bis zu 200 Millionen US-Bürgern zu kommen, indem er sich gegenüber einer asiatischen Tochter der Wirtschaftsauskunftei Experian als Privatermittler ausgab. Als solcher konnte er Datensätze einfach gegen Gebühr einsehen.

Hieu Minh Ngo hat sich schuldig bekannt, wie ein wiederum von Krebs vorgelegtes Verhandlungsprotokoll (PDF) zeigt. Demnach verkaufte er Daten wie Adresse, frühere Wohnsitze, Telefonnummern, E-Mail-Adressen, Geburtsdaten und die in den USA für die Identifizierung gegenüber Behörden verwendeten Sozialversicherungsnummern an insgesamt 1300 Abnehmer, was ihm im Lauf von 18 Monaten ein Verdienst in Höhe von rund 2 Millionen Dollar brachte. Dabei gab er nach bisherigen Erkenntnissen etwa 3 Millionen Datensätze weiter.

Der US-Regierung zufolge wurden die Daten für Betrug und Betrugsversuche genutzt, unter anderem in Form vorgetäuschter Steuerrückzahlungen, mit falschen Daten eröffneter Konten und Zahlungen auf Rechnung im Namen der Betroffenen. Der Staatsanwalt erklärte dem Richter gegenüber, eine genaue Zahl der betroffenen Konten gebe es bisher noch nicht, sie werde aber bald vorliegen. Krebs glaubt aufgrund seiner Recherchen, das bis zu 30 Millionen Kundendaten tatsächlich weiterverkauft wurden.

Experian kommentiert das laufende Verfahren nicht. Vor Gericht aber sagte sein Senior Vice President Tony Hadley bei einer Vernehmung, das Unternehmen habe die gebührende Sorgfalt vermissen lassen, als es die Aktivitäten von Ngo nicht rechtzeitig unterband. Dennoch: „Wir [Experian] sind ein Opfer, und dieser Mensch hat uns betrogen.“ Die angesprochene Senatorin Claire McCaskill gab zurück: „Ich würde ja sagen, all die Menschen, die ihre Identität verloren haben, sind die wirklichen Opfer.“

Experian ist ein in 40 Ländern agierendes Unternehmen, das unter anderem Aufzeichnungen zur Kreditwürdigkeit führt, ähnlich wie die Wirtschaftsauskunftei Schufa in Deutschland. (ZDNet-Leser könnten auch die Marktforschungstochter Experian Hitwise kennen.) Ngo war bei Experians Tochter Court Ventures in Singapur vorstellig geworden, die eigentlich die Aufgabe hat, öffentlich verfügbare Daten zu sammeln. Sie gleicht aber einem Abkommen entsprechend ihre Bestände mit Info Search aus dem US-Bundesstaat Ohio aus. Diese Daten von rund 200 Millionen US-Bürgern waren es, auf die Ngo gegen eine Gebühr Zugriff bekam.

Das Urteil wird für den 16. Juni erwartet. Ngo drohen bis zu 45 Jahre Haft.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de