Hacker haben eine Website gehackt, die es Menschen ermöglicht, Waffen zu kaufen und zu verkaufen, und dabei die Identität ihrer Benutzer preisgegeben, hat Tech erfahren.
Durch die Verletzung wurden Unmengen sensibler personenbezogener Daten von mehr als 550.000 Benutzern offengelegt, darunter die vollständigen Namen der Kunden, Wohnadressen, E-Mail-Adressen, Passwörter im Klartext und Telefonnummern. Die gestohlenen Daten ermöglichen es angeblich auch, eine bestimmte Person mit dem Verkauf oder Kauf einer bestimmten Waffe in Verbindung zu bringen.
„Mit diesen Daten können Sie dann eine öffentliche Auflistung vornehmen … und sie wieder auflösen [data in the stolen database] Sie haben also den Namen, die E-Mail-Adresse und die physische Adresse sowie die Telefonnummer von [the seller] und vermutlich der Standort der Waffe“, Troy Hunt, ein Cybersicherheitsexperte, der das beliebte Data Breach Repository und den Alarmdienst betreibt Bin ich Pwned, sagte Tech. (Der Forscher, der die Verletzung gefunden hat, hat die Daten mit Hunt geteilt, damit er sie auf Have I BeenPwned hochladen kann.)
Ende letzten Jahres entdeckte ein Sicherheitsforscher – der darum bat, anonym zu bleiben – einen Server mit den Daten, der sich als von einem Hacker (oder einer Gruppe von Hackern) verwendet herausstellte, der den Server zum Speichern der gestohlenen Daten benutzte. Der Server war durch kein System geschützt, um den Zugriff darauf einzuschränken oder zu kontrollieren, also lud der Forscher die Daten herunter und analysierte sie.
Was er fand, waren Daten von der Website GunAuction.comeine Seite, die es seit 1998 ermöglicht, Waffen online zu versteigern.
Ein Screenshot von GunAuction.com
Tech analysierte eine Stichprobe der gestohlenen Daten und erreichte 100 Personen per E-Mail und 60 per Telefonanruf. Davon bestätigten 10 Personen, dass die in der gestohlenen Datenbank enthaltenen Daten korrekt waren. Es ist jedoch unklar, wie aktuell die Daten sind, da unsere Nachricht bei 25 E-Mail-Adressen zurückgeschickt wurde oder nicht zugestellt werden konnte und mehrere Telefonnummern auch getrennt wurden.
Manny DelaCruz, CEO von GunAuction.com, bestätigte den Verstoß in einer E-Mail.
„Ich kann bestätigen, dass wir kürzlich vom FBI bezüglich der Möglichkeit einer Datenschutzverletzung kontaktiert wurden, von der unser Unternehmen betroffen ist“, schrieb DelaCruz in der Erklärung. „Der Verstoß hat wahrscheinlich persönliche Kundendaten wie Namen, Adressen und E-Mail-Adressen offengelegt. Wir möchten unseren Kunden jedoch versichern, dass wir keinen Grund zu der Annahme haben, dass während des Verstoßes auf Finanzinformationen zugegriffen wurde. Wir raten unseren Kunden, wachsam zu bleiben und ihre Finanzkonten und Kreditauskünfte auf verdächtige Aktivitäten zu überwachen.“
DelaCruz fügte hinzu, dass „unsere Absicht darin besteht, betroffene Benutzer sehr bald zu informieren“.
Dies ist nicht das erste Mal, dass sensible Daten über Waffenbesitzer preisgegeben werden. Letztes Jahr hat das kalifornische Justizministerium irrtümlicherweise personenbezogene Daten durchsickern lassen, „darunter die Namen der Waffenbesitzer, Geburtstage, Adressen, das Alter, das Kaufdatum und die Art der Waffengenehmigung, die sie besaßen, und ihre kriminellen Identifikationsnummern, die verwendet werden, um den Staat zu verfolgen und Bundesstrafregister“, laut Gizmodo.
Haben Sie weitere Informationen zu diesem Verstoß? Oder ähnliche Verstöße? Wir würden uns freuen, von Ihnen zu hören. Von einem nicht funktionierenden Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.