Amerikanische Wirtschaftsauskunftei mit Identitätsbetrugs-Verbindungen
Wie bekannt wurde, hat eine Untergrund-Webseite Daten verkauft, die zum Identitätsbetrug verwendet wurden. Die beträchtliche Menge an Informationen sei anscheinend von der US-amerikanischen Wirtschaftsauskunftei Experian gekauft worden. Die Seite, Superget.info, hat Sozialversicherungsnummern, Führerscheinnummern und Finanzinformationen an Dritte weiter verkauft.
Einige der verfügbaren Daten der Webseite stammten ursprünglich von einem Unternehmen namens Court Ventures, welches Experian im März 2013 aufgekauft hatte. Court Ventures sammelt, bündelt und verbreitet öffentliche Datenaufzeichnungen. Die Datendiebe, welche Superget betreiben, hatten vorgegeben, in Amerika ansässige Privatermittler zu sein, um an die Daten zu kommen. In Wirklichkeit waren sie in Vietnam ansässig.
Ein Identitätsdiebstahl-Service, welches Sozialversicherungsnummern, Bankkonten sowie Kreditkartendaten von Millionen Amerikanern verkauft, hatte einen Großteil seiner Daten von Experian gekauft.
Es wurde herausgefunden, dass bei jeder Sozialversicherungsnummern-Suche über Superget.info die Verbraucherdaten mit dubiosen Zusätzen markiert werden, und zwar zwei- oder dreibuchstabige „sourceid:“-Identfizierungsmerkmale, einschließlich “TH”, “MV” und “NCO”. Niemand schien eine schlüssige Erklärung dafür zu haben, bis sich letzte Woche jemand mit weiteren Informationen meldete. Demnach wären die gleichen Abkürzungen in Datensätzen der in Columbus, Ohio operierenden USInfoSearch.com zu finden.
Eine Rückfrage mit U.S. Info Search Geschäftsführer Marc Martin ergab, dass sein Unternehmen die Daten nicht direkt gekauft, sondern über Court Ventures erstanden hätte. Martin hatte von dem Diebstahl gehört, nachdem der US Secret Service ihn darüber informiert hatte, dass eine Untersuchung im Gange sei.
Laut Martin hätte es aber Zeichen gegeben, die hätten auffallen müssen. Zum Beispiel seien die monatlichen Gebühren von einem Konto in Singapur überwiesen worden. Dies sei von Experian nie infrage gestellt worden. Man hätte sich mit Experian klar abgesprochen, dass die Informationen nur an lizenzierte und qualifizierte US-amerikanische Unternehmen verkauft werden dürfen und nicht an ausländische Firmen. Der Secret Service hatte Hieu Minh Ngo aus Vietnam als verantwortlichen Täter ausgemacht und angeklagt.
Der gesamte Vorfall hat viele Fragen bezüglich der Überwachung von US-Kreditauskunftsbüros aufgeworfen. Laut US-Gesetz gibt es jedoch bereits strikte Richtlinien über den Datenverkauf.
Artikel von krebsonsecurity.com, 30.10.2013: Experian Sold Consumer Data to ID Theft Service