Im vergangenen Dezember hatte Easypark einen Cyberangriff gemeldet. Das Unternehmen mit Hauptsitz in Stockholm bietet eine weit verbreitete App für die Bezahlung von Parkgebühren an. In der Schweiz steht der Service in den Städten St. Gallen, Winterthur, Zürich, Bern, Fribourg, Lausanne und Genf zur Verfügung.
Easypark erklärte damals, der Cyberangriff habe zu einer Verletzung von "nicht sensiblen" Kundendaten geführt. Dass ein Datenabgriff stattfand, scheint sich jetzt zu bestätigen. Wie die Security-Firma Hackmanac in
einem Tweet meldet, bietet ein Hacker in einem Forum ein umfangreiches Easypark-Datenpaket zum Kauf an. Zuerst hatte der Blog
'Borncity' darüber berichtet.
Das Paket kostet 39'995 Dollar
Laut dem Hacker umfasst das Paket 21,1 Millionen Datensätze. Diese sollen vollständige Namen, Telefonnummern, Wohnadressen, E-Mail-Adressen und teilweise Kreditkarten- oder IBAN-Details von Easypark-Usern enthalten. Man habe versucht, mit dem Unternehmen eine Einmalzahlung für das Paket zu erreichen, so der Forumseintrag der Cyberkriminellen. Dieses habe aber "keine Wertschätzung für die Daten seiner Kunden". Darum biete man die Datensätze jetzt für 39'995 Dollar zum Kauf an.
Ob der Leak tatsächlich Easypark-Datensätze betrifft, ist bis jetzt nicht verifiziert. Der Hacker hat auch keine Auszüge online gestellt. Easypark hatte in ersten Stellungnahmen allerdings erklärt, dass beim Angriff Namen, Telefonnummern, Anschriften und E-Mail-Adressen abgegriffen wurden. Möglicherweise auch Teile von Kredit- und Debitkartennummern, jedoch nicht die vollständigen Zahlungsinformationen, so Easypark.
Auch gehashte Passwörter geklaut
Später stellte sich heraus, dass auch auf gehashte Passwörter zugegriffen wurde. "Wir haben die Passwörter aller betroffenen Kunden am 10. Dezember zurückgesetzt, als wir von der Datenschutzverletzung erfuhren", hiess es in einem Update im Januar. Easypark habe betroffene Kundinnen und Kunden informiert. Das Unternehmen verwende mit Bcrypt einen "weithin anerkannten Passwort-Hashing-Algorithmus".
Trotzdem wird empfohlen, das Passwort auf allen Plattformen zu ändern, "auf der Sie dasselbe Passwort verwendet haben". Nicht tangiert von dem Datenklau seien Standorte von Fahrzeugen, Fahrzeugregistrierung und Parkvorgänge. Auch könne "keine Kombination dieser gestohlenen Daten zur Durchführung von Zahlungen verwendet werden", erklärte Easypark.
Neues Statement von Easypark
Easypark hat auf den Post im Hackerforum mit einem neuen Statement reagiert. Man habe den Eintrag gesehen, es gebe jedoch keine Beweise, die die Behauptung stützen würden. "An die Easypark-Gruppe wurden keine Zahlungsaufforderungen gerichtet, und wir haben die zuständigen Behörden alarmiert. Nach dem Vorfall im Dezember 2023 haben wir die betroffenen Easypark-Kunden umgehend informiert und ihnen geraten, vor den leider häufig vorkommenden Phishing-Versuchen auf der Hut zu sein", schreibt das Unternehmen.
Update 17.20 Uhr: Der Artikel wurde um den Abschnitt mit dem aktuellen Statement von Easypark ergänzt.