Bericht: Datenpanne bei Freedom Mobile betrifft bis zu 1,5 Millionen Kunden

Das Experten-Team von vpnMentor hat kürzlich herausgefunden, dass es bei Freedom Mobile eine massive Datenpanne gegeben hat.

Angeführt durch die Hacktivisten Noam Rotem und Ran Locar haben die Experten von vpnMentor eine Datenschutzverletzung entdeckt, die die persönlichen Daten von 1,5 Millionen aktiven Freedom-Mobile-Kunden offenlegt. Freedom Mobile (früher Wind Mobile) ist der viertgrößte Mobilfunkbetreiber in Kanada.

Die Datenbank war weder geschützt noch verschlüsselt. Darin sind diverse Daten zu finden, inklusive Kreditkarten und CVV-Ziffern.

Zeitlicher Ablauf der Entdeckung der Datenpanne und die Reaktion

• April: Wir haben ein Leck in der Datenbank von Freedom Mobile entdeckt.
• April: Wir haben Freedom Mobile via E-Mail über die schwere Datenschutzverletzung in Kenntnis gesetzt. Allerdings haben wir keine Antwort bekommen.
• April: Wir haben versucht, Freedom Mobile abermals zu kontaktieren.
• April: Freedom Mobile antwortet endlich auf unsere Nachrichten.
• April: Freedom Mobile hat die Datenpanne bereinigt.

Beispiele der Einträge in der Datenbank

Ähnlich wie bei Gearbests ungeschützter Elasticsearch-Datenbank war auch die Datenbank von Freedom Mobile komplett unverschlüsselt. Wir hatten kompletten Zugriff auf mehr als 5 Millionen Einträge, die zirka 1,5 Millionen Anwendern zuzuordnen sind.

Diese Datensätze scheinen alle Aktionen widerzuspiegeln, die in einem Benutzerkonto vorgenommen wurden. Pro Kunde sind mehrere Einträge möglich.

Mitunter sind die nachfolgenden persönlichen Daten vom Leck betroffen:

• E-Mail-Adressen
• Private und mobile Telefonnummern
• Privatadressen
• Geburtstage
• Kundentyp
• IP-Adresse, die mit der Zahlungsmethode verknüpft ist
• Unverschlüsselte Kreditkartennummern und CVV-Prüfziffern
• Bonitätsbeurteilungen von Equifax und anderen Unternehmen, inklusive Gründe für Annahme und Ablehnung

Wir hatten auch Zugriff auf Kontonummern, Abonnements-Daten, Faktura-Zyklen und Aufzeichnungen des Kundenservices.

Bei einigen Einträgen waren Daten von einer Equifax-Datenbank enthalten. Es gab Informationen zu Bonitätsauskünften, Kredit-Klassen und Konten bezüglich Kreditkarten.

Auswirkungen der Datenpanne

Ironisch ist, dass sich Freedom Mobile selbst für ein hohes Niveau an Datensicherheit lobt. Selbst im Twitter-Profil ist das zu finden:

Allerdings haben sie ganz klar die Daten der Kunden mit der gesamten Welt geteilt.

Nachdem wir die Datenpanne entdeckt hatten, wurde Freedom Mobile sofort in Kenntnis gesetzt. Eine sofortige Antwort blieb aber aus und deswegen haben wir andere Sicherheitsportale gebeten, uns bei einer Kontaktaufnahme zu helfen. Möglicherweise sind unsere E-Mails im Spam gelandet. Das war aber nicht der Fall, weil das Unternehmen irgendwann doch geantwortet hat.

Aus ethischen Gründen haben wir die Datenbank nicht heruntergeladen. Deswegen können wir nicht mit letzter Sicherheit sagen, wie viele Leute davon betroffen sind.

Auf jeden Fall hatten wir Zugriff auf mindestens 5 Millionen ungeschützte Einträge. Freedom Mobile hat mindestens 1,5 Millionen Kunden und die Muttergesellschaft, die zu Shaw Communications gehört, hat in Kanada mehr als 3,2 Millionen Kunden. Es handelt sich hier möglicherweise um die größte Datenpanne, die einem kanadischen Unternehmen jemals unterlaufen ist.

Man findet nicht häufig Datenlecks, in denen sowohl Kreditkartennummern als auch CVV-Prüfziffern enthalten sind. Das gilt vor allen Dingen für Datenpannen dieser Größte.

Diese Datenschutzverletzung enthält unverschlüsselte Informationen zu Kreditkarten. Deswegen verletzt Freedom Mobile möglicherweise die Konformitätsrichtlinien der PCI (Payment Card Industry). Daher könnte das Problem nicht nur große Auswirkungen auf die Anwender haben, sondern auch Konsequenzen für das Unternehmen selbst.

Gefahren durch Hacks

Eine Datenbank, die voll mit Kreditkartennummern, Geburtsdaten, vollständigen Namen, Adressen und Telefonnummern ist, lädt natürlich zu Kreditkartenbetrug und Identitätsdiebstahl ein. Das könnte die Anwender sowie deren Banken und Versicherungen mehreren hunderttausend Dollar kosten.

Eine unverschlüsselte Datenbank mit persönlichen Daten ist für Hacker eine wertvolle Quelle. Zugriff auf Adressen, E-Mail-Adressen, Telefonnummern und Kreditkarten helfen böswilligen Menschen, sehr ausgeklügelte Phishing-Angriffe zu fahren.

Informationen zu Krediten können zu sehr gezielten Ransomware-Angriffen führen, weil Cyberkriminelle wissen, wo sie hohe Forderungen an den Tag legen können.

Selbst sehr vorsichtige Anwender können sich nicht vor einem Unternehmen schützen, das die Daten der Kunden in einer ungesicherten Datenbank speichert. Die beste Option wäre in diesem Fall eine temporäre Kreditkarte, ein Konto oder eine CVV-Prüfziffer, die mit dem Konto verbunden ist. Weitere Informationen findest Du in unserem kompletten und umfangreichen Leitfaden.

Über uns und frühere Berichte:

vpnMentor ist die weltweit größte Website für VPN-Bewertungen. Unser Experten-Labor ist ein zusätzlicher Service, der der Online-Gemeinschaft helfen soll, sich gegen Cyber-Bedrohungen zu verteidigen. Weiterhin wollen wir Unternehmen zeigen, wie sie die Daten ihrer Anwender schützen.

Wir haben kürzlich eine sehr umfangreiche Datenpanne entdeckt, von der 80 Millionen Haushalte in den USA betroffen sind. Außerdem haben wir aufgedeckt, dass es bei Gearbest eine miassive Datenschutzverletzung gab. Vielleicht interessiert Dich auch unser Bericht zu den VPN-Lecks und der Bericht zu den Datenschutz-Statistiken.

Bitte teile den Bericht auf Facebook oder twittere darüber.