Jetzt geht es wieder los: Experian, verantwortlich für einen Datenverstoß, von dem 24 Millionen betroffen sind

Wie sich herausstellt, müssen Sie nicht immer die Sicherheit eines Unternehmens verletzen, um unbefugten Zugriff auf eine Vielzahl von Informationen zu erhalten. Experian, ein multinationales Kreditauskunftei, hat bewiesen, dass Sie manchmal nur höflich fragen müssen.

Letzte Woche gab die südafrikanische Niederlassung von Experian zu, dass ein Datenverstoß zum Verlust einiger Verbraucherinformationen geführt hatte. Es wurde jedoch schnell darauf hingewiesen, dass der Vorfall kein Hacken beinhaltete. Stattdessen gab sich ein Betrüger als einer von Experians Kunden aus, und ein Mitarbeiter des Kreditbüros gab die Daten bereitwillig weiter.

Wenn wir Cybersicherheitsvorfälle nach der von ihnen verursachten Verlegenheit einstufen müssten, würde dieser eher an die Spitze gehen. Sie würden erwarten, dass das Opfer seine Hand hochhält, zugibt, dass es einen dummen Fehler gemacht hat, und verspricht, Maßnahmen zu ergreifen, um ähnliche Vorfälle in Zukunft zu vermeiden. Es sieht jedoch so aus, als hätte Experian andere Ideen zur Behandlung eines Datenverstoßes.

Experian versucht das Problem herunterzuspielen

Anstatt über die Änderungen zu sprechen, die vorgenommen wurden, um solche Datenverletzungen zu verhindern, betont Experians Erklärung die Tatsache, dass keine Kredit- oder Finanzinformationen offengelegt wurden. Nach Angaben des Kreditbüros werden die übergebenen Daten in der Regel im "normalen Geschäftsverlauf" bereitgestellt, und der Betrüger, der sie verwendet hat, beabsichtigte, sie zur Organisation einer Marketingkampagne zu verwenden. Der besagte Betrüger wurde identifiziert, seine "Hardware" wurde beschlagnahmt und die durchgesickerten Daten wurden gelöscht. Alle relevanten Aufsichtsbehörden und Strafverfolgungsbehörden wurden informiert, und obwohl die Untersuchung noch nicht abgeschlossen ist, gibt es keine Hinweise darauf, dass die offengelegten Daten missbraucht werden.

Schließlich forderte das Kreditbüro die Verbraucher auf, ihre Kreditauskünfte unter www.mycreditcheck.co.za kostenlos zu überprüfen, und Ferdie Pieterse, CEO von Experian Africa, entschuldigte sich für das, was er als "Unannehmlichkeit" bezeichnete.

Es ist viel mehr als eine Unannehmlichkeit

Experian ist kein Unbekannter in Bezug auf Datensicherheitsprobleme. Bei einem der größten Cybersicherheitsvorfälle im Jahr 2015 haben Hacker die Server der US-Niederlassung des Kreditbüros kompromittiert und die persönlichen Daten von bis zu 15 Millionen Menschen gestohlen. Im Jahr 2013 war eine ihrer Tochtergesellschaften in eine Untersuchung wegen Identitätsdiebstahls verwickelt, die viele Kontroversen hervorrief. Diese beiden Vorfälle ließen viele Lektionen zu lernen, aber gemessen an der Art und Weise, wie Experian mit der jüngsten Datenverletzung umgeht, hat es nichts daraus gezogen.

Selbst wenn Sie sich entschlossen haben, die Tatsache zu ignorieren, dass Experian einem seiner Mitarbeiter erlaubt hat, viele persönliche Informationen preiszugeben, müssen Sie sich ansehen, wie das Büro das Problem offenlegt, und Sie werden feststellen, dass es viele gibt Probleme damit.

In der Erklärung heißt es beispielsweise, dass die durchgesickerten Informationen entweder öffentlich verfügbar sind oder regelmäßig auch an andere Organisationen weitergegeben werden, es wird jedoch nicht versucht, die genaue Art der Daten offenzulegen. Die Leute wissen nicht, welche ihrer persönlichen Daten enthüllt wurden, und sie haben keine Möglichkeit zu wissen, vor welchen Angriffen sie vorsichtig sein müssen. Experian hat auch nicht gesagt, wann der Vorfall passiert ist.

Schlimmer noch, obwohl es sich bei den Betroffenen entschuldigte, vergaß es zu erwähnen, wie viele von ihnen da draußen sind. Zum Glück war das an der Untersuchung beteiligte South African Banking Risk Center (SABRIC) großzügiger mit den Details. Demnach hat der Betrüger die Informationen von 24 Millionen Südafrikanern und knapp 800.000 Unternehmen in die Hände bekommen.

Laut SABRIC arbeitet das Unternehmen derzeit mit Banken und Experian zusammen, um die betroffenen Personen zu identifizieren. In der Zwischenzeit wird jedem empfohlen, bei Anfragen nach persönlichen Informationen, die über E-Mails, Textnachrichten oder Telefonanrufe eingehen, misstrauisch zu sein.

Sie fragen sich vielleicht, warum Experian nicht alle diese Informationen in seiner Erklärung offengelegt hat. Leider ist Ihre Vermutung so gut wie unsere.