Hacker stehlen bei Smartphone-Bank Revolut Kundendaten – Ausmass unklar
Die populäre Smartphone-Bank Revolut ist nach eigenen Angaben Opfer einer Cyberattacke geworden. Das geht aus einer Mitteilung des britischen Fintechs an die Aufsichtsbehörden in Litauen hervor. Revolut arbeitet in Europa mit einer Bankenlizenz aus Litauen und konkurriert mit Neo-Banken wie N26, Yuh oder Zak.
Wann ist der Datendiebstahl erfolgt?
Das ist nicht klar.
Revolut habe den böswilligen Netzwerk-Zugriff am späten Abend des 11. September entdeckt und sei in der Lage gewesen, den Angriff bis zum nächsten Morgen zu isolieren.
In der Mitteilung an die Aufsichtsbehörden in Litauen heisst es, das Sicherheitsteam von Revolut habe schnell gehandelt, um den Zugriff auf die Kundendaten des Unternehmens zu unterbinden.
Revolut-Sprecher Michael Bodansky sagte dem Portal Tech Crunch, dass «ein unbefugter Dritter für einen kurzen Zeitraum Zugang zu den Daten eines kleinen Prozentsatzes (0.16 Prozent) unserer Kunden erhalten hat».
Wie viele User sind betroffen?
Dazu gibt es widersprüchliche Angaben.
Der Revolut-Sprecher wollte nicht genau sagen, wie viele Kundinnen und Kunden betroffen sind. Auf seiner Website gibt das Unternehmen an, dass es etwa 20 Millionen User hat; 0.16 Prozent würden rund 32'000 Betroffenen entsprechen.
In der Mitteilung von Revolut an die litauischen Behörden gibt das Unternehmen jedoch an, dass 50'150 Kundinnen und Kunden von der Sicherheitsverletzung betroffen gewesen seien.
Was wurde gestohlen?
Das ist fraglich.
In einer Nachricht an betroffene User, die auf Reddit gepostet wurde, teilte das Unternehmen mit, dass «keine Kartendaten, PINs oder Passwörter abgegriffen wurden».
In der Mitteilung heisst es jedoch, dass die Hacker wahrscheinlich teilweise auf Kartenzahlungsdaten sowie auf Namen, Adressen, E-Mail-Adressen und Telefonnummern der Kundinnen und Kunden zugegriffen hätten.
Wie konnte das passieren?
Die unbekannten Angreifer nutzten offenbar Social-Engineering-Methoden, um Zugriff auf die Revolut-Datenbank zu erhalten. Bei dieser kriminellen Vorgehensweise handelt es sich nicht um Computer-Hacking im engeren Sinn, vielmehr versuchen die Kriminellen, einen Angestellten des Unternehmens im direkten Kontakt – zum Beispiel mit einem gefälschten Telefonanruf – davon zu überzeugen, sensible Informationen wie das eigene Passwort preiszugeben.
Dies sei bei den jüngsten Angriffen gegen eine Reihe bekannter Unternehmen, darunter Twilio, Mailchimp und Okta, zu einer beliebten Taktik geworden, so Tech Crunch.
Quellen
- techcrunch.com: Revolut confirms cyberattack exposed personal data of tens of thousands of users (Bericht vom 20. September)
- reddit.com: Revolut was hacked
(dsc/sda/awp/dpa)
