Hacker haben in eine Website eingedrungen, die es Menschen ermöglicht, Waffen zu kaufen und zu verkaufen, und dabei die Identität ihrer Benutzer preisgegeben, hat TechCrunch erfahren.
Die Sicherheitslücke legte Welten sensibler persönlicher Daten von mehr als 550.000 Benutzern frei, darunter die vollständigen Namen der Kunden, Privatadressen, E-Mail-Adressen, Klartext-Passwörter und Telefonnummern. Die gestohlenen Daten ermöglichen es angeblich auch, eine bestimmte Person mit dem Verkauf oder Kauf einer bestimmten Waffe in Verbindung zu bringen.
Mit diesen Daten können Sie dann eine allgemeine Liste erhalten … und sie wieder auflösen [data in the stolen database] Sie haben also den Namen, die E-Mail-Adresse, die physische Adresse und die Telefonnummer von [the seller] Troy Hunt, ein Cybersicherheitsexperte, der das beliebte Data Breach Repository und den Warndienst Have I BeenPwned betreibt, sagte gegenüber TechCrunch. (Der Forscher, der die Verletzung entdeckte, teilte die Daten mit Hunt, damit er sie auf Have I BeenPwned hochladen konnte.)
Ende letzten Jahres entdeckte ein Sicherheitsforscher – der um Anonymität bat – einen Server mit Daten, die von einem Hacker (oder einer Gruppe von Hackern) verwendet wurden, der den Server benutzt hatte, um gestohlene Daten zu speichern. Der Server war durch kein System geschützt, um den Zugriff darauf einzuschränken oder zu kontrollieren, also lud der Forscher die Daten herunter und analysierte sie.
Was er fand, waren Daten von der Website GunAuction.com, einer Website, die es Menschen seit 1998 ermöglicht, Waffen online zu versteigern.
Screenshot von GunAuction.com
TechCrunch analysierte eine Stichprobe der gestohlenen Daten und kontaktierte 100 Personen per E-Mail und 60 per Telefonanruf. Von diesen bestätigten 10 Personen, dass die in der gestohlenen Datenbank enthaltenen Daten korrekt waren. Es ist jedoch unklar, wie aktuell die Daten sind, da unsere Nachricht bei 25 E-Mail-Adressen zurückgesendet oder nicht zugestellt werden konnte und viele Telefonnummern getrennt wurden.
Manny DelaCruz, CEO von GunAuction.com, bestätigte den Verstoß in einer E-Mail.
„Ich kann bestätigen, dass wir kürzlich vom FBI wegen einer möglichen Datenschutzverletzung kontaktiert wurden, von der unser Unternehmen betroffen war“, schrieb DelaCruz in der Erklärung. “Der Verstoß hat das Potenzial, persönliche Kundendaten wie Namen, Adressen und E-Mail-Adressen preiszugeben. Wir möchten unseren Kunden jedoch versichern, dass wir keinen Grund zu der Annahme haben, dass während des Verstoßes auf Finanzinformationen zugegriffen wurde. Wir beraten unsere Kunden wachsam zu bleiben und ihre Finanzkonten und Kreditauskünfte auf verdächtige Aktivitäten zu überwachen.”
DelaCruz fügte hinzu: „Unser Ziel ist es, betroffene Benutzer sehr bald zu benachrichtigen.“
Dies ist nicht das erste Mal, dass sensible Daten über Waffenbesitzer preisgegeben werden. Letztes Jahr hat das kalifornische Justizministerium fälschlicherweise persönliche Daten durchsickern lassen, „darunter die Namen, Geburtstage, Adressen, das Alter der Waffenbesitzer, das Kaufdatum und die Art der Waffenerlaubnis, die sie besitzen, sowie ihre kriminellen Identifikationsnummern, die zur Verfolgung des Staates verwendet werden Und laut Gizmodo.
Haben Sie weitere Informationen zu diesem Verstoß? oder ähnliche Verstöße? Wir würden uns freuen, von Ihnen zu hören. Von einem nicht funktionierenden Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1917 257 1382, über Wickr, Telegram und Wirelorenzofb oder per E-Mail an lorenzo@techcrunch.com kontaktieren. Sie können TechCrunch auch über SecureDrop kontaktieren.
Ähnliche Beiträge:
Die Lufttaxi-Rivalen Wisk und Archer werden im März in einer Klage wegen Diebstahls von Geschäftsgeheimnissen in die Schlichtung eintreten
Seed Club Ventures entsteht aus dem Inkognito heraus mit einer Finanzierung von 25 Millionen US-Dollar, die sich auf DAOs konzentriert
Durch den Sicherheitseinbruch von Shell Recharge wurden die Daten von Elektrofahrzeugfahrern offengelegt
Der Adtech-Riese Criteo wurde von der französischen Datenschutzbehörde wegen Verstößen gegen die DSGVO mit einer Geldstrafe von 40 Millionen Euro belegt.