Under Armour, der Gigant für Sportbekleidung und Fitness-Daten, steckt mitten in einer ziemlichen Datenpanne. Millionen von Kundendaten sollen gestohlen worden sein und werden jetzt in Hacker-Foren zum Verkauf angeboten.
Die Sache kam wohl schon im November letzten Jahres ins Rollen. Die Everest Ransomware Gang hatte sich damals schon zum Datendiebstahl bekannt und die Daten auf ihrer Leak-Seite im Dark Web präsentiert. Richtig öffentlich wurde es aber erst, als Have I Been Pwned (HIBP), die bekannte Plattform für Datenlecks, eine Kopie dieser Daten erhielt. HIBP hat daraufhin nicht lange gefackelt und sage und schreibe 72 Millionen betroffene Personen per E-Mail darüber informiert: Eure Informationen sind kompromittiert!
Was alles gestohlen wurde? Laut HIBP umfasst der Datensatz Namen, E-Mail-Adressen, Geschlecht, Geburtsdaten und den ungefähren Standort der Kunden, basierend auf Postleitzahlen. Auch Kaufhistorien sollen dabei sein. Ein Verkäufer der Daten hat TechCrunch eine Stichprobe gezeigt, die Millionen von Under Armour-Kundenkäufen enthielt - das bestätigt wohl die von HIBP gemeldeten Datentypen. Und, aufgepasst: In der Stichprobe fand man auch etliche E-Mail-Adressen von Under Armour Mitarbeitern.
Under Armour selbst hat über Sprecher Matt Dornic gegenüber TechCrunch bestätigt: Man sei sich der Behauptungen bewusst, dass "eine nicht autorisierte dritte Partei bestimmte Daten erlangt hat". Eine Untersuchung läuft, externe Cybersicherheitsexperten unterstützen sie dabei. Dornic beeilte sich aber zu betonen: Es gebe "derzeit keine Hinweise darauf, dass dieses Problem UA.com oder Systeme zur Zahlungsabwicklung oder zur Speicherung von Kundenpasswörtern betroffen hat".
Under Armour versucht natürlich, die Wogen zu glätten. Sprecher Dornic erklärte, die Anzahl der betroffenen Kunden mit "irgendwelchen Informationen, die als sensibel eingestuft werden könnten", sei ein "sehr kleiner Prozentsatz". Was Under Armour aber konkret unter "sensibel" versteht oder wie viele Kunden wirklich betroffen sind? Dazu gab es keine konkrete Antwort. Die Behauptung, "sensible persönliche Informationen von zig Millionen Kunden wurden kompromittiert", sei "unbegründet", so Dornic weiter. Da fragt man sich schon: Was ist für Under Armour eigentlich "sensibel", wenn Namen, E-Mails und Kaufhistorie nicht dazu zählen? Und die Diskrepanz zwischen 72 Millionen von Have I Been Pwned benachrichtigten Nutzern und Under Armours "sehr kleinem Prozentsatz" ist dabei, sagen wir mal, kaum zu übersehen.
Ob Under Armour die betroffenen Kunden nun selbst informieren wird? Das blieb offen. Genauso wie die Frage, ob es irgendeine Kommunikation mit den Hackern gab, Stichwort Lösegeldforderung. Die Untersuchung läuft also - und viele Fragen bleiben, wie so oft, noch offen.
Kommentare (0)