Das Hotel- und Gaststättenunternehmen Sonder hat eine Datenpanne bestätigt, durch die möglicherweise Gästedaten in Mitleidenschaft gezogen wurden.
Laut einem am Mittwoch, 23. November 2022, veröffentlichten Sicherheitsupdate erfuhr Sonder am 14. November von einem unbefugten Zugriff auf eines seiner Systeme.
„Sonder glaubt, dass Gastdatensätze, die vor dem 1. Oktober 2021 erstellt wurden, in diesen Vorfall verwickelt waren“, schrieb das Unternehmen. Es fügte hinzu, dass es keine Beweise dafür gibt, dass Konten, die nach dem 14. November 2022 erstellt wurden, involviert waren.
„Dies deutet darauf hin, dass das Unternehmen seine Sicherheitsvorkehrungen seit Oktober letzten Jahres verbessert hat oder dass es dem Angreifer gelungen ist, auf ein altes Backup oder eine Kopie der Daten zuzugreifen“, erklärte Mark Warren, Produktspezialist bei Osirium.
„Unbefugter Zugriff könnte auf aktuelle Mitarbeiter, jemanden, der das Unternehmen vor einiger Zeit verlassen hat, einen Anbieter oder einen Angreifer zutreffen“, so Warren gegenüber Infosecurity.
Zu den potenziell gefährdeten Daten gehören Nutzernamen und verschlüsselte Passwörter, Namen, Telefonnummern, Geburtsdaten, Adressen und E-Mail-Adressen.
Bestimmte Belege für Gästetransaktionen, einschließlich der letzten vier Ziffern der Kreditkartennummern und der Transaktionsbeträge, könnten ebenfalls kompromittiert worden sein, ebenso wie Buchungsdaten für Aufenthalte in Sonder-Häusern.
„Darüber hinaus geht Sonder davon aus, dass bei einer begrenzten Anzahl von Gästedatensätzen auf Kopien von amtlichen Ausweisen wie Führerscheinen oder Pässen zugegriffen wurde“, so das Unternehmen weiter.
Sonder erklärte, dass es nach der Entdeckung der Sicherheitsverletzung Schritte unternommen hat, um diese einzudämmen, einschließlich der Sicherstellung, dass die unbefugte Person keinen Zugang mehr zu den Systemen hat, dass der Betrieb nicht beeinträchtigt wird und dass der Umfang des Vorfalls untersucht wird.
Berichten zufolge hat das Unternehmen auch die betroffenen Nutzer und die zuständigen Aufsichtsbehörden benachrichtigt und die Strafverfolgungsbehörden kontaktiert.
Warren sagte, dass Unternehmen aus Datenverletzungen wie dieser lernen und ihre Sicherheitslage verbessern sollten, indem sie Kundendatenbanken (und Backups) vor Angreifern, verärgerten Mitarbeitern und versehentlichen Schäden schützen. Er warnte auch davor, den Mitarbeitern direkten Zugang zu den Zugangsdaten zu diesen Systemen zu gewähren.
„Das verringert nicht nur das Risiko, dass der Zugang kompromittiert wird, sondern macht es auch viel einfacher, wenn das Unternehmen die Zugangsdaten austauschen muss“, so Warren weiter.
„Ohne diese Kontrolle wird es zu kostspielig, die Zugangsdaten regelmäßig zu ändern oder sie sehr komplex zu gestalten, so dass viele Unternehmen zu Abkürzungen greifen oder die Zugangsdaten nicht oft genug aktualisieren.
Alles in allem ist Warren der Meinung, dass der Schutz immer auf die Grundlagen zurückgeht.
„Man muss wissen, wo sich die sensiblen Daten und Systeme befinden, man muss wissen, wer Zugriff hat und wer ihn wirklich braucht, und man muss sicherstellen, dass der Zugriff nur über sichere Kanäle wie die Verwaltung privilegierter Zugriffe möglich ist.“
Die Datenpanne bei Sonder ereignete sich nur wenige Wochen, nachdem Sheins Holdinggesellschaft Zoetop zu einer Geldstrafe von 1,9 Mio. Dollar verurteilt wurde, weil sie ihre Kunden nicht ordnungsgemäß über einen Hack informiert hatte, von dem angeblich Millionen von Nutzern betroffen waren.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com