Datenleck bei Shadow erfasst 4,8 Millionen Daten
Die Zahl der durch den Cyberangriff beim Cloud-Gaming-Dienst Shadow ist enorm. Nach Angaben von vpnMentor sollen bei dem Angriff mindestens 4,8 Millionen einzelne Daten der 500.000 Kunden erbeutet worden sein. Die Daten stammen aus einem Zeitraum von mehreren Jahren und umfassen unter anderem folgende Informationen:
- Name, E-Mail-Adresse, Telefonnummer
- Zahlungsinformationen, darunter Kreditkartennummern und Bankkontodaten
- IP-Adresse
- Informationen über die genutzten Geräte und Software
- Spielverlaufsdaten
Das Unternehmen Shadow hat den Angriff bestätigt und die betroffenen Kunden über die Sicherheitslücke informiert. Ein Team von Sicherheitsexperten untersucht den Vorfall. In einer Stellungnahme hat das Unternehmen erklärt, dass es sich um einen "schweren Sicherheitsvorfall" handelt. Shadow hat sich bei den betroffenen Kunden für die durch das Datenleck entstandenen Unannehmlichkeiten entschuldigt und ihnen angeboten, ihre Daten kostenlos zu löschen.
Der Shadow-CEO Eric Sèle behauptet in einer unter anderem auf Reddit veröffentlichten Mitteilung, der Vorfall habe sich Ende September nach einem erfolgreichen Social-Engineering-Angriff auf einen Mitarbeiter des Unternehmens ereignet. "Dieser hoch entwickelte Angriff begann auf der Discord-Plattform mit dem Herunterladen einer als Spiel getarnten Malware von der Steam-Plattform, das von einem Bekannten unseres Mitarbeiters vorgeschlagen wurde, der selbst Opfer desselben Angriffs war", erklärt Shadow weiter.
Identitätsdiebstahl durch Datenleck kann erhebliche Folgen haben
Das Datenleck könnte für die betroffenen Kunden erhebliche Folgen haben. Die Veröffentlichung von sensiblen Daten wie Kreditkartennummern und Bankkontodaten kann zu Identitätsdiebstahl und finanziellen Schäden führen. Auch die Veröffentlichung von IP-Adressen kann für die Betroffenen problematisch sein, da diese für Cyberangriffe genutzt werden können. Betroffene des Datenlecks sollten folgende Maßnahmen ergreifen, um sich zu schützen:
- Sie sollten ihre Kreditkartennummern und Bankkontodaten bei den entsprechenden Unternehmen sperren lassen.
- Sie sollten ihre Passwörter für alle Online-Konten ändern.
- Sie sollten einen Identitätsdiebstahlschutz beantragen.
Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks und Datendiebstahls im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyberkriminellen gezielte Phishing-Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.
EuGH stärkt Rechte von betroffenen Verbrauchern
Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.
- Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.
- Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
- Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.
Was tun, wenn Sie Opfer einer Phishing-Attacke geworden sind?
Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:
- Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden.
- Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
- Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
- Unbedingt Strafanzeige erstatten.