Hackerangriff: Equifax räumt Verlust weiterer Daten ein

Der Hackerangriff auf Equifax, das größte Credit-Scoring-Unternehmen der USA, war offenbar folgenreicher als bisher bekannt. Das ist zumindest das Ergebnis einer Untersuchung des Banken-Ausschusses des US-Senats. Demnach wurden mehr Daten gestohlen, als Equifax bisher öffentlich eingeräumt hat.

In einem am Freitag veröffentlichten Brief an Equifax-CEO Paulino do Rego Barros fassen die Senatoren die neuen Erkenntnisse ihrer fünfmonatigen Untersuchung zusammen. Die Hacker kompromittierten auch E-Mail-Adressen der halben US-Bevölkerung, zusätzliche Führerscheindaten wie Tag und Ort der Ausstellung sowie Tax Identification Numbers.

Letztere sind Steuernummern, die die Steuerbehörde Internal Revenue Service (IRS) an Beschäftigte ausgibt, die keine Sozialversicherungsnummer haben. Dazu gehören ausländische Staatsbürger, die in den USA arbeiten und dort auch Steuern bezahlen. Die Steuernummern befanden sich in derselben Datenbank, in der auch die Sozialversicherungsnummern gespeichert waren.

„Im Oktober, als ich den CEO zum genauen Ausmaß des Datenverlusts befragte, konnte er mir keine genaue Antwort geben. Also habe ich fünf Monate selbst ermittelt“, kommentierte die demokratische Senatorin Elizabeth Warren per Twitter. „Meine Ermittlungen haben das Ausmaß des Einbruchs und die Vertuschung bei Equifax aufgedeckt“, ergänzte sie. „Und nachdem ich den Bericht veröffentlicht habe, bestätigte Equifax, dass es sogar noch schlimmer ist, als sie uns erzählt haben.“

Eine Sprecherin von Equifax spielte in einer E-Mail an ZDNet USA die Bedeutung des Untersuchungsberichts herunter. Man habe stets gewusst, welche Daten gestohlen worden seien, und man sei in Bezug auf die „in erster Linie“ entwendeten Daten stets offen gewesen. Dem Banken-Ausschuss habe man kürzlich Datenpunkte gegeben, die laut der eigenen forensischen Analyse „möglicherweise abgegriffen“ wurden. „Einige waren betroffen – und andere wie Ausweise oder Kartenprüfnummern waren es beispielsweise nicht“, so die Sprecherin.

Bei dem Angriff auf die Systeme von Equifax erbeuteten Hacker im vergangenen Jahr die Personendaten von 143 Millionen US-Bürgern. Es war damit der größte Datenverlust des Jahres 2017. Er betraf aber nicht nur Nutzer in den USA, sondern auch in Großbritannien und Kanada. Der CEO des Unternehmens musste als Folge seinen Sessel räumen.

Eine Untersuchung des Vorfalls durch den eigentlich zuständigen Ausschuss für Verbraucherschutz wurde durch einen Wechsel an der Spitze des Ausschusses kürzlich gestoppt. Die Gründe dafür sind nicht bekannt.

Ein neuer Gesetzentwurf, der derzeit im Senat erarbeitet wird, sieht nun Geldstrafen für ähnliche Datenverluste vor. Equifax hätte das Gesetz in seiner derzeitigen Form eine Geldbuße von mehreren Milliarden Dollar eingebracht. Ob das von demokratischen Senatoren eingebrachte Gesetz im republikanisch dominierten Senat derzeit eine Chance hat, ist fraglich.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.