Beim Hardware-Hersteller MSI ist ein Datenleck aufgetreten. Aufgrund fehlender Sicherheitsbarrieren im Internet waren Kundendaten zugänglich.
MSI ist als Hersteller von Hardware bekannt. Nun kam es aufgrund fehlender Sicherheitsbarrieren im Internet zu einer Datenpanne. Die Sicherheitslücke ist ein gravierender Datenschutz-GAU. Zahlreiche Kundendaten aus Garantiefällen wurden dadurch öffentlich zugänglich. Alles, was streng geschützt sein sollte, bot Datendieben freie Bahn.
Datenpanne durch ungeschütztes Internet
Plötzlich lagen die Daten, die streng geschützt sein sollten, für jedermann offen, denn in seinem internen Intranet hatte MSI keine Sicherheitsbarrieren installiert. Die Daten der Kunden waren daher über das Internet frei zugänglich. Wer auf die Daten zugreifen wollte, musste sich nicht mit einem Login und einem Passwort einloggen.
Brisant ist dieses Datenleck daher, da die Suche über DuckDuckGo nach dem „MSI RMA Webserver“ erfolgen konnte. Garantie-Abwicklungen konnten noch bis ins Jahr 2017 zurückverfolgt werden. Schätzungsweise sind mehr als 600.000 Fälle von diesem Datenschutz-Gau betroffen.
Keine Kreditkartendaten im System gespeichert
Im System waren keine Kreditkartendaten der Kunden gespeichert. Dennoch boten die Daten für Betrüger und Identitätsdiebe viele Möglichkeiten. Immerhin lagen Namen, Postadressen, Telefonnummern, E-Mail-Adressen, Kaufbelege und Details zu den gekauften Produkten von MSI offen.
Die Daten konnten mit nur wenigen Klicks sogar als Excel-Tabellen exportiert werden. Ein Abruf der Sendungsverfolgungsdaten war ebenfalls möglich. Betrüger können sich mit diesen Daten als seriöser Kundendienst ausgeben.
Mögliche weitreichende Folgen des Datenlecks
Betrüger, die in den Besitz der Kundendaten gelangen, können sich bei den Kunden melden und Namen, Adresse und verschiedene Details zu einem kürzlich gekauften Produkt von MSI nennen. Da der Betrüger alles über das Produkt und den Fall weiß, wirkt er überzeugend. Er kann auch eine Rücksendung umleiten oder ein verlockendes Upgrade anbieten. Alle diese Betrugsmöglichkeiten sind real.
Schnelle Reaktion von MSI
MSI wurde von Gamers Nexus in einem Responsible Disclosure-Verfahren informiert und hat schnell auf die Warnung reagiert. Bevor die Öffentlichkeit davon erfuhr, konnte MSI das Datenleck schließen, wie Computer Base berichtet. MSI handelte schnell und erkannte den Ernst der Lage.
Ob das Leck auch die Daten deutscher Kunden betraf, ist nicht bekannt. In Deutschland läuft die Garantieabwicklung zumeist über die Händler. Kunden können aber auch direkt mit dem Hersteller in Kontakt treten.
Signal an gesamte Technologie-Branche
Für die gesamte Technologie-Branche sollte der Datenschutz-GAU von MSI ein klares Signal sein, denn er zeigt die Bedeutung regelmäßiger Überprüfungen der Systeme auf Sicherheitslücken. Über das Internet erreichbare Zugänge sind am stärksten gefährdet, da sie über Suchmaschinen auffindbar sind.
Datenschutz ist absolute Pflicht, genauso wie ein durchdachtes Zugriffsmanagement und regelmäßige Sicherheitsaudits. Nur so können die Unternehmen ihr Vertrauen bei den Kunden wahren.
Quellen: MSI, Gamers Nexus, Computer Base, Tarnkappe.info