Breach von Easypark könnte 21 Millionen Datensätze umfassen

29. Februar 2024 um 14:15
image
Auch in Zürich können Parkgebühren mit der App von Easypark bezahlt werden. Foto: Stadt Zürich

Nach dem Angriff auf den auch in der Schweiz aktiven Park-App-Anbieter verkauft ein Hacker ein grosses Datenpaket. Es soll auch Kreditkarten- und IBAN-Details enthalten.

Im vergangenen Dezember hatte Easypark einen Cyberangriff gemeldet. Das Unternehmen mit Hauptsitz in Stockholm bietet eine weit verbreitete App für die Bezahlung von Park­gebühren an. In der Schweiz steht der Service in den Städten St. Gallen, Winterthur, Zürich, Bern, Fribourg, Lausanne und Genf zur Verfügung.
Easypark erklärte damals, der Cyberangriff habe zu einer Verletzung von "nicht sensiblen" Kundendaten geführt. Dass ein Datenabgriff stattfand, scheint sich jetzt zu bestätigen. Wie die Security-Firma Hackmanac in einem Tweet meldet, bietet ein Hacker in einem Forum ein umfangreiches Easypark-Datenpaket zum Kauf an. Zuerst hatte der Blog 'Borncity' darüber berichtet.

Das Paket kostet 39'995 Dollar

Laut dem Hacker umfasst das Paket 21,1 Millionen Datensätze. Diese sollen vollständige Namen, Telefonnummern, Wohnadressen, E-Mail-Adressen und teilweise Kreditkarten- oder IBAN-Details von Easypark-Usern enthalten. Man habe versucht, mit dem Unternehmen eine Einmalzahlung für das Paket zu erreichen, so der Forumseintrag der Cyberkriminellen. Dieses habe aber "keine Wertschätzung für die Daten seiner Kunden". Darum biete man die Datensätze jetzt für 39'995 Dollar zum Kauf an.
Ob der Leak tatsächlich Easypark-Datensätze betrifft, ist bis jetzt nicht verifiziert. Der Hacker hat auch keine Auszüge online gestellt. Easypark hatte in ersten Stellungnahmen allerdings erklärt, dass beim Angriff Namen, Telefon­nummern, Anschriften und E-Mail-Adressen abgegriffen wurden. Möglicherweise auch Teile von Kredit- und Debitkartennummern, jedoch nicht die vollständigen Zahlungsinformationen, so Easypark.

Auch gehashte Passwörter geklaut

Später stellte sich heraus, dass auch auf gehashte Passwörter zugegriffen wurde. "Wir haben die Passwörter aller betroffenen Kunden am 10. Dezember zurückgesetzt, als wir von der Datenschutzverletzung erfuhren", hiess es in einem Update im Januar. Easypark habe betroffene Kundinnen und Kunden informiert. Das Unternehmen verwende mit Bcrypt einen "weithin anerkannten Passwort-Hashing-Algorithmus".
Trotzdem wird empfohlen, das Passwort auf allen Plattformen zu ändern, "auf der Sie dasselbe Passwort verwendet haben". Nicht tangiert von dem Datenklau seien Standorte von Fahrzeugen, Fahrzeugregistrierung und Parkvorgänge. Auch könne "keine Kombination dieser gestohlenen Daten zur Durchführung von Zahlungen verwendet werden", erklärte Easypark.

Neues Statement von Easypark

Easypark hat auf den Post im Hackerforum mit einem neuen Statement reagiert. Man habe den Eintrag gesehen, es gebe jedoch keine Beweise, die die Behauptung stützen würden. "An die Easypark-Gruppe wurden keine Zahlungsaufforderungen gerichtet, und wir haben die zuständigen Behörden alarmiert. Nach dem Vorfall im Dezember 2023 haben wir die betroffenen Easypark-Kunden umgehend informiert und ihnen geraten, vor den leider häufig vorkommenden Phishing-Versuchen auf der Hut zu sein", schreibt das Unternehmen.
Update 17.20 Uhr: Der Artikel wurde um den Abschnitt mit dem aktuellen Statement von Easypark ergänzt.

Loading

Mehr zum Thema

image

Vom schwächsten Glied zum Sicherheits­faktor

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

publiziert am 2.12.2024
image

Kanadische Medien verklagen OpenAI

Einige der grössten kanadischen Medienhäuser ziehen vor Gericht. Sie werfen OpenAI vor, Artikel für KI-Training missbraucht zu haben und fordern Schadensersatz.

publiziert am 2.12.2024
image

SBB erteilen Auftrag für Swisspass-Verifikation

Intrum erhält den Zuschlag für die digitale Identitätsprüfung. Diese soll beim Swisspass weiterentwickelt werden.

publiziert am 2.12.2024
image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024