Massiver Cyberangriff: 800.000 Ungarn Opfer von Hackerangriff
Im Juli 2024 wurden durch einen groß angelegten Hackerangriff die persönlichen Daten von Hunderttausenden ungarischen Nutzern ins Dark Web gelangt. In dem Fall ging es um Kütyübazár, einen Online-Shop, der seit mehr als einem Jahrzehnt auf dem Markt ist und für seine einzigartigen Geschenkideen bekannt ist.
Zu den durch den Hack erhaltenen Informationen gehörten Namen, E-Mail-Adressen und Privatadressen, die ursprünglich von einem Benutzer namens SirDump verkauft wurden. Laut Index enthält der Datendump Details zu etwa einer Million Bestellungen, von denen etwa 800.000 bis 850.000 Nutzer betroffen gewesen sein könnten. Die Authentizität der Datenbank wurde von Emailsec-Experten bestätigt, die die durchgesickerten Informationen überprüft und bestätigt haben, dass die darin enthaltenen Daten authentisch sind.
Glücklicherweise waren Passwörter und Kreditkartendaten nicht im Paket enthalten, sodass die Daten nicht zum direkten Hacken von Identitäten verwendet werden können. Experten warnen jedoch, dass diese Fülle an persönlichen Daten die perfekte Grundlage für Betrugs- und Phishing-Angriffe bietet, die den Betroffenen schwere finanzielle und persönliche Schäden zufügen können.
Wie kam es zu dem Verstoß?
An die Daten gelangten die Hacker vermutlich, indem sie Schwachstellen in den IT-Systemen von Kütyübazár ausnutzten. Das Fehlen einer ordnungsgemäßen Verschlüsselung der Kundendaten erhöhte das Risiko erheblich. László Jakab, der CEO von Kütyübazár, gab zu, dass die Angreifer auf das System zugegriffen hatten, indem sie das Passwort eines Mitarbeiters kompromittiert hatten.
Als Reaktion auf den Angriff erstattete Kütyübazár umgehend Anzeige bei der Polizei, benachrichtigte die nationale Datenschutzbehörde und informierte die betroffenen Nutzer im August per E-Mail. Seitdem hat das Unternehmen das bisher verwendete Open-Source-System komplett abgelöst und weitere Sicherheitsverbesserungen eingeführt.
Laut Dénes Fodor, einem IT-Sicherheitsexperten bei White Hat, enthält die Datenbank nicht die Daten von einer Million Menschen, sondern vielmehr so viele Aufträge, unter denen es möglicherweise Duplikate gibt. Realistisch gesehen hätten die persönlichen Daten von 800.000 bis 850.000 Nutzern kompromittiert werden können. Allerdings behauptet Kütyübazár, dass die tatsächliche Zahl der tatsächlich betroffenen Nutzer bei nur 221 liegen könnte, da ein erheblicher Teil der gestohlenen Daten entweder Testzwecken oder gefälschten Daten diente.
Mängel im System und Haftung
Nach Angaben des Managements von Kütyübazár wurden auch die bisherigen Systeme von einem Cyber-Sicherheitsexperten überprüft, der keine kritischen Mängel feststellte. Dennoch hat der Angriff gezeigt, dass selbst kleinste Schwachstellen von Hackern ausgenutzt werden können, insbesondere in einem Markt, in dem jedes Jahr Hunderttausende Bestellungen aufgegeben werden. Das Unternehmen hat versucht, die Situation verantwortungsvoll zu bewältigen, indem es die Interessengruppen informierte, das System verbesserte und eng mit den Behörden zusammenarbeitete, um den Schaden zu minimieren.
Die Veranstaltungen unterstreichen die Bedeutung der Cybersicherheit, insbesondere in der Welt des Online-Shoppings, in der große Mengen personenbezogener Daten verarbeitet werden. Der Vorfall dient auch als Warnung dafür, dass Unternehmen ihre Sicherheitssysteme kontinuierlich verbessern und besonderes Augenmerk auf die Schulung ihrer Mitarbeiter in der Passwortverwaltung und anderen grundlegenden Sicherheitsprotokollen legen müssen.
Darüber hinaus sollten Benutzer aufmerksamer sein, indem sie beispielsweise ihre Passwörter regelmäßig aktualisieren und vermeiden, zu viele persönliche Informationen online preiszugeben. Für viele könnte der Datendiebstahlskandal ein Weckruf sein, wachsamer mit ihrer Online-Präsenz und dem Schutz ihrer Daten umzugehen.
