In der Regel nutzen Hacker eine Schwachstelle der IT, um in die Datenbank von Unternehmen zu gelangen. Bei Shopify griffen jetzt zwei Mitarbeiter des Support-Teams auf Kundendaten der Shopify-Händler zurück. Das Unternehmen hat eine Million registrierte Shops in seinem System. Wie viele Händler sind von dem Angriff betroffen? Und welche Daten konnten die Mitarbeiter erbeuten?
Wie kamen die Shopify-Mitarbeiter an die Daten?
Die Shopify-Mitarbeiter mussten nicht die Sicherheitsmechanismen der IT überwinden, um an die Kundendaten zu gelangen. Es gab daher keine Sicherheitslücke im System. Die Mitarbeiter hatten Zugang zu den Daten.
Welche Daten konnten die Mitarbeiter erbeuten?
Die Mitarbeiter erbeuteten Transaktionsdaten wie Namen, Anschriften und E-Mail-Adressen von den Kunden einzelner Händler. Dabei konnten sie auch Details wie eingekaufte Produkte und Dienstleistungen einsehen. Andere persönliche Daten und Bezahlinformationen sollen die Mitarbeiter nicht abgegriffen haben.
Shopify ließ wissen, es gebe bisher keine Hinweise, dass die entwendeten Daten missbraucht wurden. Die Ermittlungen befänden sich jedoch noch in einem frühen Stadium.
So hat Shopify auf den Sicherheitsvorfall reagiert
Shopify entließ die beiden Verdächtigen sofort. Sie haben keinen Zugang mehr zum Shopify-Netzwerk. Das Unternehmen gab den Fall an die Polizei weiter. Es versucht zusammen mit dem FBI und anderen internationalen Behörden, den Angriff aufzuklären. Shopify hat betroffene Händler bereits informiert. Es nehme derartige Vorfälle ernst und habe keine Toleranz für einen Missbrauch der Plattform.
Social Engineering als Angriff auf Daten
Im Frühjahr nutzte ein Angreifer Social Engineering, um an die Daten von Kunden zu gelangen. Dabei bestach ein Hacker einen Mitarbeiter der Spieleplattform Roblox. Dieser suchte dann Daten für den Hacker heraus. Danach bestach er einen Mitarbeiter beim Kundensupport. Dieser verschaffte ihm einen Zugang zum System von Roblox. Der Hacker änderte dort jedoch lediglich einige wenige Daten.
Fazit
Der Angriff eigener Mitarbeiter auf das System ist kein Einzelfall. Erst kürzlich griffen zwei Angestellte von Instacart auf knapp 2200 Kundenprofile zu. Und: Bei Tesla versuchten russische Hacker einen Mitarbeiter einer Fabrik im US-Bundesstaat Nevada zu bestechen, damit dieser eine Schadsoftware in einem internen Netzwerk installiert. Dieser lehnte das jedoch ab und informierte die Firmenleitung.
Anzeige
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
