Das zentrale französische Arbeitslosenamt Pôle Emploi hat am 23. August
bekannt gegeben, dass einer seiner IT-Dienstleister das Opfer eines Datendiebstahls geworden ist. Laut dem Amt sind Daten der registrierten Arbeitslosen abgeflossen. Diese beinhalten Namen und Sozialversicherungsnummern. Nicht eingeschlossen seien E-Mail-Adressen, Telefonnummern, Passwörter oder Banking-Informationen. Registrierte könnten weiterhin gefahrlos auf ihre Userkonten zugreifen, so das Amt, sollten aber trotzdem vorsichtig sein, wenn sie verdächtige Nachrichten erhalten. Zur Zahl der betroffenen Personen oder der Art des Angriffs machte das Arbeitsamt keine Angaben.
Viele dieser Daten hat Clop im Darknet veröffentlicht, allerdings bisher keine Daten von Personen, die bei Pôle Emploi registriert waren. Dies könnte daran liegen, dass die Clop-Bande versprochen hat, keine Daten von Ämtern zu veröffentlichen.
Dienstleister-Hack auch bei der Londoner Polizei
Wie am 26. August bekannt wurde, sind auch Daten der Londoner Metropolitan Police gestohlen worden. Auch in diesem Fall gelang es den Angreifern, in die Systeme eines IT-Dienstleisters einzudringen.
Laut 'The Guardian' sind bei diesem Dienstleister Daten gespeichert, die die Namen von Polizistinnen und Polizisten und anderen Polizeiangestellten, ihre Fotos, Beurteilungen und Saläre enthalten. Nicht darunter seien persönliche Daten wie Adressen, Telefonnummern oder Bankdaten.
Ein Zusammenhang mit der Moveit-Sicherheitslücke ist in diesem Fall bisher nicht bekannt.
Fälle, in denen die Systeme von IT-Dienstleistern von Behörden kompromittiert werden, scheinen sich in letzter Zeit zu häufen. In vielen Ländern, darunter auch die Schweiz, wurde bisher von der öffentlichen Hand offensichtlich die Überprüfung und Sicherstellung der IT-Security von IT-Zulieferern vernachlässigt. Das Paradebeispiel hierzulande ist
der Xplain-Hack, der weiterhin hohe Wellen wirft.