Der koreanische Smartphone- und TV-Gigant Samsung verlor eine unbekannte Menge an Daten über eine unbekannte Anzahl von Kunden – und schwieg darüber fast einen Monat lang.
Also was ist passiert? Wer war betroffen? Und sind Samsung-Benutzer sicher?
Was ist bei der Samsung-Datenverletzung passiert?
Die kurze Antwort ist, dass Samsung nicht weiß, wie es zu der Datenschutzverletzung kam – oder zumindest sagt es das am 2. September nicht Pressemitteilung, in der es lediglich heißt: „Ende Juli 2022 erwarb ein unbefugter Dritter Informationen von einigen US-Systemen von Samsung“.
Die Aussage geht weiter:
„Wir möchten unseren Kunden versichern, dass sich das Problem nicht auf Sozialversicherungsnummern oder Kredit- und Debitkartennummern auswirkte, sondern auf einige Fällen möglicherweise betroffene Informationen wie Name, Kontakt- und demografische Informationen, Geburtsdatum und Produktregistrierung Information. Die betroffenen Informationen für jeden relevanten Kunden können variieren."
Zu den Kontaktdaten gehören wahrscheinlich die Privatadresse, die Telefonnummer und die E-Mail-Adresse. Zusätzliche Informationen, die während der Produktregistrierung gesammelt werden, umfassen Geschlecht, genaue Geolokalisierungsdaten, Profil-ID des Samsung-Kontos, Benutzername und mehr. Sogar nur
Ihre E-Mail-Adresse kann für Kriminelle wertvoll sein.Die halbherzige Zusicherung von Samsung mag einige Kunden darüber trösten, dass die Kriminellen ihre Kreditkartendaten nicht verwenden, um beispielsweise nicht rückverfolgbare Kryptowährung zu kaufen. Allerdings ist die Menge an Informationen, die das Unternehmen zugibt kann aufgenommen wurden, ist umwerfend, und nicht etwas, das so leicht als immateriell ausgegeben wird.
Bei diesem Detaillierungsgrad sollte es für Angreifer relativ trivial sein, Präzision zu konstruieren Spearphishing-Angriffe, SIM-Swaps durchführen und Kredite und Darlehen im Namen eines Opfers aufnehmen.
Vielleicht ist das der Grund, warum Samsung in seiner Veröffentlichung darauf achtet, dass es Opfern zwar keine kostenlose Kreditüberwachung anbietet, aber „Sie haben nach US-Recht Anspruch auf eine kostenlose Kreditauskunft pro Jahr von jeder der drei großen landesweiten Kreditauskunfteien Agenturen."
Samsung deckte die Lücke am 4. August 2022 auf und veröffentlichte diese begrenzten Informationen volle 30 Tage später. Die Gesetzgebung zur Offenlegung von Datenschutzverletzungen ist in den USA unterschiedlich, aber es ist eine gängige Vorgabe, dass die Benachrichtigung über eine solche Verletzung so schnell wie möglich und ohne unangemessene Verzögerung erfolgen muss. Der maximal zulässige Zeitrahmen für die Offenlegung liegt zwischen 30 Tagen (Colorado, Florida) und 90 Tagen (Connecticut). Durch die lange Verzögerung der Offenlegung könnte sich Samsung selbst in Gefahr bringen.
Wer war von der Samsung-Datenverletzung betroffen?
Wer betroffen war, nennt Samsung nicht einmal ungefähre Zahlen. Es könnte jeder Kunde sein, der jemals ein Samsung-Gerät besessen hat, oder es könnte nur eine Handvoll sein. Wir wissen es noch nicht. Samsung hat versucht, betroffene Benutzer zu beruhigen, indem es sagte:
„Wir wissen das Vertrauen unserer Kunden zu schätzen und sollten wir durch unsere Untersuchung feststellen, dass der Vorfall eine weitere Benachrichtigung erfordert, werden wir Sie entsprechend kontaktieren.“
Android-Polizei berichtet, dass die Hacking-Gruppe Lapsus$ Anfang dieses Jahres behauptete, 190 GB an sensiblen Daten von Samsung exfiltriert zu haben, einschließlich Algorithmen für alle biometrischen Daten Entsperrvorgänge, Quellcode für den Bootloader für neuere Samsung-Produkte und den gesamten Quellcode hinter dem Prozess der Autorisierung und Authentifizierung von Samsung Konten.
Was können Sie dagegen tun?
Okay, also was können Sie eigentlich gegen diesen Verstoß tun? Wenn diese Menge an Informationen offengelegt wird, sollten Sie einen Kreditüberwachungsdienst beauftragen, um alle neuen Karten- oder Kreditanträge in Ihrem Namen im Auge zu behalten. Noch besser, frieren Sie Ihr Guthaben ein, bis Sie sicher sind, dass Sie sicher sind. Es ist wahrscheinlich eine gute Idee, auch Ihre Telefonnummer zu ändern.
Und wenn Sie besorgt sind und eine Bestätigung oder weitere Beratung wünschen, wenden Sie sich direkt an Samsung. Sie können auch Ihre Unzufriedenheit äußern, damit sie, falls so etwas noch einmal passiert, nicht so scheinbar nachlässig mit Ihren Informationen umgehen.
