Eine Sicherheitslücke ermöglichte es „Betrügern”, Führerscheinnummern aus dem Online-Verkaufssystem von Geico zu stehlen, wie aus einer bei der kalifornischen Generalstaatsanwaltschaft eingereichten Mitteilung über eine Datenschutzverletzung hervorgeht. Geico hat die Schwachstelle inzwischen behoben, was über einen Monat lang unbemerkt blieb, fragt aber danach Kunden achten auf betrügerische Arbeitslosenanträge.
Die Ursache für diese Datenschutzverletzung ist noch unklar. Geico gibt an, dass sein Online-Verkaufssystem durch „an anderer Stelle” gesammelte Daten kompromittiert wurde, was darauf hindeuten könnte, dass Hacker in Konten eingebrochen sind, indem sie Anmeldeinformationen oder personenbezogene Daten von anderen Websites verwendet haben. Dennoch sagt Geico, dass es das Problem behoben hat, also könnte es einen Fehler in seinem Verkaufssystem gegeben haben – der Bericht des Versicherers ist einfach zu vage.
Aus der Datenschutzverletzungsmitteilung von Geico:
Wir haben kürzlich festgestellt, dass Betrüger zwischen dem 21. Januar 2021 und dem 1. März 2021 Informationen über Sie – die sie an anderer Stelle erworben haben – verwendet haben, um über das Online-Verkaufssystem auf unserer Website unbefugten Zugriff auf Ihre Führerscheinnummer zu erhalten. Wir haben Grund zu der Annahme, dass diese Informationen dazu verwendet werden könnten, in betrügerischer Absicht Arbeitslosengeld in Ihrem Namen zu beantragen. Wenn Sie Postsendungen von der Arbeitsagentur/Abteilung Ihres Staates erhalten, überprüfen Sie diese bitte sorgfältig und wenden Sie sich an diese Agentur/Abteilung, wenn die Möglichkeit besteht, dass Betrug begangen wird.
Arbeitslosenbetrug ist eine häufige Form des Identitätsdiebstahls, für den ein Führerschein und andere personenbezogene Daten erforderlich sind. Die Tatsache, dass sich Geico auf Arbeitslosenbetrug konzentriert, ist besorgniserregend und deutet darauf hin, dass Hacker mit persönlichen Daten von Kunden in das Online-Verkaufssystem eingebrochen sind.
Aber auch hier wissen wir nicht, was passiert ist, weil Geicos Hinweis zu vage ist. Geico hat nicht bekannt gegeben (oder weiß es nicht), wie viele US-Bürger von der Verletzung betroffen waren, obwohl die Zahl ziemlich groß sein könnte. Unternehmen müssen die kalifornische Generalstaatsanwaltschaft nur benachrichtigen, wenn über 500 Einwohner des Bundesstaates von einer Datenschutzverletzung betroffen sind – und das sind wiederum nur Personen, die in Kalifornien leben.
Wenn Sie Geico-Kunde sind, achten Sie auf Post von Ihrem staatlichen Arbeitsamt. Geico sagt, dass es nicht weiß, ob Ihre Führerscheinnummer von seiner Website gestohlen wurde, obwohl es Ihnen ein Jahr Identitätsdiebstahlschutz und -versicherung von IdentityForce gibt, wenn ein Betrüger unter Ihrem Namen Arbeitslosigkeit anmeldet.
Quellen: Geico über TechCrunch