Im Oktober 2013 wurde eine unglaubliche Geschichte bekannt. Ein vietnamesischer Mann namens Hieu Minh Ngo kaufte persönliche und finanzielle Aufzeichnungen über Amerikaner direkt von einer Firma, die zu Experian gehört. Experian ist eine der drei großen US-Kreditbehörden.

Im März 2014 nun bekannte sich Hieu Minh Ngo schuldig, einen Service zum Identitätsbetrug geführt zu haben. Er wurde letztes Jahr durch amerikanische Geheimdienstmitarbeiter verhaftet. Gerichtsaufzeichnungen zeigen, wie Ngo durch eine Tochterfirma von Experian direkten Zugang zu den vertraulichen Daten von mehr als 200 Millionen Amerikanern erwarb.

Ngo gab sich als Privatdetektiv aus, der durch regelmäßige Überweisungen für seinen Zugang zu Kundendaten bezahlte. Durch einen Vertrag mit Court Ventures, die wiederum einen Vertrag zum beidseitigen Zugriff mit US Info Search haben, konnten Ngos Kunden eben auf diese Datenbanken zugreifen. Die Daten enthielten unter anderem Sozialversicherungsnummern und Geburtsdaten.

Experian kaufte Court Ventures mit all seinen Kunden im März 2012. Für mehr als zehn Monate nach diesem Kauf setzte Ngo seine Aktivitäten fort. Insgesamt zahlten zwischen 2007 und Februar 2013 mehr als 1.300 Kunden mindestens 1,9 Millionen Dollar an Ngo, um Zugang zu vertraulichen Daten zu erhalten.

Ngos Kunden nutzen die Daten für verschiedene Betrugsarten, so zum Beispiel Steuerbetrug, zur Eröffnung neuer Kreditlinien und zur Ausstellung von teuren Rechnungen. Die Ermittler fanden heraus, dass Ngos Kunden in einem Zeitraum von 18 Monaten bis Februar 2013 rund 3,1 Millionen Anfragen über amerikanische Bürger stellten.

Bisher lässt sich allerdings noch nicht feststellen, wie viele Bürger tatsächlich betroffen sind, da jede Anfrage mehrere Ergebnisse zeigte. Suchte man nach einem bestimmten Namen, so fanden sich darunter meist mehrere Personen. Nun konnte man sich durchklicken, jeder Klick würde von dem Konto von Ngos Kunden einen kleinen Betrag abziehen.

Experian selbst hält sich bedeckt und weist darauf hin, dass immer noch eine Untersuchung im Gange ist, sodass keine weiteren Informationen herausgegeben werden.

In einer Anhörung letzten Dezember gab Tony Hadley, Experians Senior Vice President of Government Affairs, zu, dass Experians Sorgfaltspflicht im Rahmen der Akquise von Court Ventures versagt hat. Experian erfuhr erst von Ngos Aktivitäten, nachdem sie eine Mitteilung vom US-Geheimdienst darüber erhalten hatten. Gleichzeitig fügte er aber auch hinzu, dass

„bisher zum Glück kein Kunde davon negativ betroffen gewesen wäre.“

Ob Experian bereits Maßnahmen zum Schutz der betroffenen Kunden unternommen hat, ist unklar. Die Firma antwortet auf Fragen diesbezüglich bisher nicht. Ngo selbst steht eine lange Gefängnisstrafe bevor; für alle Vergehen insgesamt können es bis zu 45 Jahre werden.

Artikel von krebsonsecurity.com, 10.04.2014: Experian Lapse Allowed ID Theft Service Access to 200 Million Consumer Records