Equifax, die größte Wirtschaftsauskunftei der USA, wurde in diesem Jahr Opfer eines Hacker-Angriffs , bei dem die Daten von rund 143 Millionen Kunden gestohlen wurden. In den vergangenen Wochen deckten Sicherheitsexperten immer mehr Missstände auf, die erklären, welch leichtes Spiel die Cyberkriminellen mit dem Konzern hatten. So wurden beispielsweise empfindliche Kredit-Beschwerden im Klartext auf den Unternehmensservern abgelegt, während für die Registrierung eines Admin-Zugangs zum argentinischen Web-Portal von Equifax nur die Passwort-Nutzernamen-Kombination „Admin/Admin“ nötig war.
Damit Nutzer überprüfen können, ob ihre Daten im Rahmen des großangelegten Hacks gestohlen wurden, setzte Equifax vor einigen Wochen die Website www.equifaxsecurity2017.com auf. Hier können Kunden der Wirtschafstauskunftei ihre Informationen eingeben. Die Prüfsoftware teilt ihnen dann mit, ob ihre Datensätze möglicherweise beim Diebstahl zwischen Mai und Juli 2017 entwendet wurden. Da Equifax-Kunden empfindliche Daten für diese Prüfung eingeben sollen, müssen sie darauf vertrauen, dass sie dies auch an der richtigen Stelle tun – sonst geben sie Betrügern möglicherweise genau die Daten preis, von denen sie bereits annehmen, dass sie gestohlen wurden.
Equifax unterlief in dieser Woche ein peinlicher Fehler mit genau dieser Website. In einem Tweet verwies das Unternehmen einen Nutzer an die Website securityequifax2017.com, anstatt an die korrekte Webadresse equifaxsecurity2017.com. Das Resultat: Der Nutzer landete auf einer Phishing-Seite, die auf Equifax-Kunden abzielt und deren Daten abgreifen will. Dieser Fehler unterlief Equifax nicht nur einmal, sondern in den vergangenen zwei Wochen gleich drei Mal. Die Tweets mit den falschen Web-Adressen wurden zwar mittlerweile gelöscht, blieben jedoch noch 24 Stunden online, bis Twitter der Löschanfrage nachkam.
Glück für die betroffenen Nutzer: Bei securityequifax2017.com handelt es sich nicht um eine echte Phishing-Seite, sondern um einen Test von Sicherheitsforscher Nick Sweeting, der weitere laxe Sicherheitsvorkehrungen bei Equifax aufdecken wollte. Laut Sweeting sei es ein großer Fehler, die Informationsseite für Hacking-Opfer mit einer neuen – wenig vertrauenswürdigen – URL zu verknüpfen. Die Möglichkeit für Tippfehler würde Betrüger geradezu anlocken. Auch die Kundenbetreuung im Zuge des Hacks sei laut Sweeting eine Katastrophe. Aufgrund der immer neuen Skandale um Equifax wird das Unternehmen in den nächsten Monaten große Mühe haben, das Vertrauen seiner Kunden wieder herzustellen. Es besteht zudem die Möglichkeit, dass zahlreiche enttäuschte Kunden Klage gegen Equifax einreichen.
Autor: Denise Bergert, Autorin
Denise Bergert schreibt seit 2011 als freie IT-Journalistin für pcwelt.de. Ihre Themenschwerpunkte sind Smartphones, Internet, Gaming, Gadgets, Filme, Serien und Security.