Sicherheitsvorfall bei Payback & fragwürdiges Datenschutzteam

ANZEIGE
K

kernelmode

Neues Mitglied
25.12.2022
3
0
ANZEIGE
Hallo in die Runde!

Heute möchte ich von meinen Erfahrungen mit Payback berichten, da laut Selbstdarstellung des Unternehmens Datenschutz "an oberster Stelle steht" - ich aber das Gegenteil erlebe. Aber der Reihe nach, was ist passiert?

Die Angreifergruppierung Cl0P hat nach eigenen Angaben erfolgreich Daten von Payback abgegriffen und listet die "Payback Group" seit dem 26.07. als Opfer ihrer Erpressungskampangne im Zusammenhang mit einer Softwareschwachstelle. Es handelt sich laut Cl0P um 53GB an Daten + Archivierte Dateien. Die von Cl0P veröffentlichten Dateien sollen ihre Behauptung unterlegen und sehen nach meiner Einschätzung authentisch aus. Die bisher veröffentlichten Daten zeigen Excel Tabellen mit Gehaltsinformationen der Mitarbeiter und interner Abrechnungen, keine Daten von Payback Kunden.

Technisch möchte ich hier nicht weiter auf den Angriff eingehen, jedoch der Fairness halber erwähnen, dass die Schwachstelle zum Zeitpunkt des Angriffs nicht bekannt war. Aus meiner Sicht wesentlich Entscheidender ist der Umgang des Unternehmens mit dem Sicherheitsvorfall. Ich habe mich daher am 30.07. an Payback (datenschutz@payback.com) gewand:

die Payback Group wird als Opfer auf einer Leak Seite der Cl0P Angreifergruppierung gelistet. Durch eine Sicherheitslücke in der Software Moveit war es den Angreifern möglich, dort verarbeitete Daten abzugreifen um die betroffenen Unternehmen zu erpressen.

Als Payback Nutzer und damit potenziell betroffener, bitte ich Sie die folgenden Fragen wahrheitsgemäß zu beantworten:

1. Haben Sie derzeit die Software MOVEit im Einsatz, oder hatten Sie diese im Jahr 2023 im Einsatz?

2. Wurden personenbezogene Daten mit MOVEit verarbeitet oder gespeichert?

3. Sind unter den mutmaßlich abgeflossenen Daten auch personenbezogene Daten von Payback Nutzern?

3.1. Falls ja, haben Sie den Datenschutzverstoß innerhalb von 72h nach Kenntnis an die zuständige Aufsichtsbehörde gemeldet?

4. Ist davon auszugehen, dass die Daten nach Ablauf der Frist veröffentlicht werden?
Zum Vergrößern anklicken....

Bis auf eine automatische Antwort, dass man sich schnellstmöglich bei mir melden werde, bekam ich keine Rückmeldung. Daher fragte ich am 03.08. erneut nach - leider bis heute ohne Antwort. Aus diesem Grund habe ich heute ein Auskunftsersuchen nach Art. 15 DSGVO gestellt und hoffe, dass man sich bei Payback wenigstens an geltendes Recht hält.

Die Frist von Cl0P für die Veröffentlichung aller Daten läuft morgen aus, daher werden betroffene wohl zuerst im Internet davon erfahren, bevor Payback dazu Stellung nimmt.
Payback Nutzer teilen eine Menge an personenbezogenen und sensiblen Daten mit dem Unternehmen, daher finde ich den Umgang mit dem Datenschutz an dieser Stelle äußerst problematisch. Möglicherweise zahlt Payback einfach die "Lösegeldsumme" und wir erfahren nie, welche Daten abgeflossen sind. Möglicherweise werden Datenschutzangelegenheiten grundsätzlich so gehandhabt.

Wer möchte, kann natürlich gern sein Glück versuchen und datenschutz@payback.com um Stellungnahme bitten.
Mich würde durchaus interessieren, ob morgen die Daten veröffentlicht werden und wenn ja, ob sich die Kunden dort wiederfinden.

/kernelmode
 
Leon K

Leon K

Erfahrenes Mitglied
06.01.2023
685
442
kernelmode meinte:
Hallo in die Runde!

Heute möchte ich von meinen Erfahrungen mit Payback berichten, da laut Selbstdarstellung des Unternehmens Datenschutz "an oberster Stelle steht" - ich aber das Gegenteil erlebe. Aber der Reihe nach, was ist passiert?

Die Angreifergruppierung Cl0P hat nach eigenen Angaben erfolgreich Daten von Payback abgegriffen und listet die "Payback Group" seit dem 26.07. als Opfer ihrer Erpressungskampangne im Zusammenhang mit einer Softwareschwachstelle. Es handelt sich laut Cl0P um 53GB an Daten + Archivierte Dateien. Die von Cl0P veröffentlichten Dateien sollen ihre Behauptung unterlegen und sehen nach meiner Einschätzung authentisch aus. Die bisher veröffentlichten Daten zeigen Excel Tabellen mit Gehaltsinformationen der Mitarbeiter und interner Abrechnungen, keine Daten von Payback Kunden.

Technisch möchte ich hier nicht weiter auf den Angriff eingehen, jedoch der Fairness halber erwähnen, dass die Schwachstelle zum Zeitpunkt des Angriffs nicht bekannt war. Aus meiner Sicht wesentlich Entscheidender ist der Umgang des Unternehmens mit dem Sicherheitsvorfall. Ich habe mich daher am 30.07. an Payback (datenschutz@payback.com) gewand:



Bis auf eine automatische Antwort, dass man sich schnellstmöglich bei mir melden werde, bekam ich keine Rückmeldung. Daher fragte ich am 03.08. erneut nach - leider bis heute ohne Antwort. Aus diesem Grund habe ich heute ein Auskunftsersuchen nach Art. 15 DSGVO gestellt und hoffe, dass man sich bei Payback wenigstens an geltendes Recht hält.

Die Frist von Cl0P für die Veröffentlichung aller Daten läuft morgen aus, daher werden betroffene wohl zuerst im Internet davon erfahren, bevor Payback dazu Stellung nimmt.
Payback Nutzer teilen eine Menge an personenbezogenen und sensiblen Daten mit dem Unternehmen, daher finde ich den Umgang mit dem Datenschutz an dieser Stelle äußerst problematisch. Möglicherweise zahlt Payback einfach die "Lösegeldsumme" und wir erfahren nie, welche Daten abgeflossen sind. Möglicherweise werden Datenschutzangelegenheiten grundsätzlich so gehandhabt.

Wer möchte, kann natürlich gern sein Glück versuchen und datenschutz@payback.com um Stellungnahme bitten.
Mich würde durchaus interessieren, ob morgen die Daten veröffentlicht werden und wenn ja, ob sich die Kunden dort wiederfinden.

/kernelmode
Zum Vergrößern anklicken....
Meist geht passiert da nichts. Die melden sich schon, wenn’s auch lange dauert
 
franky1

franky1

Erfahrenes Mitglied
08.10.2019
848
2.452
Wenn es denn nur Payback wäre, Weltweit sollen über 2500 Firmen, Behörden, Institutionen betroffen sein, davon 100 in DE.
 
K

kernelmode

Neues Mitglied
25.12.2022
3
0
chrini1 meinte:
Und was genau erwartest Du? Auf deine Punkte von oben muss ja keiner eingehen. Dir steht kein Auskunftsrecht zu. Was dein Ersuchen nach §15 in diesem Zusammenhang bringen soll, erschließt sich mir auch nicht.
Zum Vergrößern anklicken....
Meine Erwartung wäre mehr Transparenz. Natürlich müssen die keine Fragen beantworten, ein Auskunftsersuchen jedoch schon - und damit natürlich auch ob personenbezogene Daten offengelegt wurden.

akswiff meinte:
Gibt es dazu auch eine Aussage von Fachexperten oder qualifiziert dich irgendetwas?
Zum Vergrößern anklicken....
Die Fachexpterten sitzen bei Payback und antworten nicht. Ich beschäftige mich beruflich mit der Analyse von Sicherheitsvorfällen.
immerfernweh89 meinte:
Fragt sich nur, warum das sein erster Post ist.
Zum Vergrößern anklicken....
Sorry!

Wäre euch das tatsächlich egal, wenn eure Payback Daten morgen publiziert werden?
 
chrini1

chrini1

Erfahrenes Mitglied
26.03.2013
6.870
6.358
HAM
kernelmode meinte:
Meine Erwartung wäre mehr Transparenz. Natürlich müssen die keine Fragen beantworten, ein Auskunftsersuchen jedoch schon - und damit natürlich auch ob personenbezogene Daten offengelegt wurden.


Die Fachexpterten sitzen bei Payback und antworten nicht. Ich beschäftige mich beruflich mit der Analyse von Sicherheitsvorfällen.

Sorry!

Wäre euch das tatsächlich egal, wenn eure Payback Daten morgen publiziert werden?
Zum Vergrößern anklicken....
Wenn Du doch beruflich damit zu tun hast, dann weißt doch genau, was das normale Vorgehen in einem solchen Fall ist. Und ein Punkt der dazu gehört: Der Öffentlichkeit gegenüber erst einmal die Klappe zu halten. Und selbst wenn: aktuell ist und bleibt es eine Behauptung von vermutlichen Russischen Hackern.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: red_travels
Leon K

Leon K

Erfahrenes Mitglied
06.01.2023
685
442
kernelmode meinte:
Hallo in die Runde!

Heute möchte ich von meinen Erfahrungen mit Payback berichten, da laut Selbstdarstellung des Unternehmens Datenschutz "an oberster Stelle steht" - ich aber das Gegenteil erlebe. Aber der Reihe nach, was ist passiert?

Die Angreifergruppierung Cl0P hat nach eigenen Angaben erfolgreich Daten von Payback abgegriffen und listet die "Payback Group" seit dem 26.07. als Opfer ihrer Erpressungskampangne im Zusammenhang mit einer Softwareschwachstelle. Es handelt sich laut Cl0P um 53GB an Daten + Archivierte Dateien. Die von Cl0P veröffentlichten Dateien sollen ihre Behauptung unterlegen und sehen nach meiner Einschätzung authentisch aus. Die bisher veröffentlichten Daten zeigen Excel Tabellen mit Gehaltsinformationen der Mitarbeiter und interner Abrechnungen, keine Daten von Payback Kunden.

Technisch möchte ich hier nicht weiter auf den Angriff eingehen, jedoch der Fairness halber erwähnen, dass die Schwachstelle zum Zeitpunkt des Angriffs nicht bekannt war. Aus meiner Sicht wesentlich Entscheidender ist der Umgang des Unternehmens mit dem Sicherheitsvorfall. Ich habe mich daher am 30.07. an Payback (datenschutz@payback.com) gewand:



Bis auf eine automatische Antwort, dass man sich schnellstmöglich bei mir melden werde, bekam ich keine Rückmeldung. Daher fragte ich am 03.08. erneut nach - leider bis heute ohne Antwort. Aus diesem Grund habe ich heute ein Auskunftsersuchen nach Art. 15 DSGVO gestellt und hoffe, dass man sich bei Payback wenigstens an geltendes Recht hält.

Die Frist von Cl0P für die Veröffentlichung aller Daten läuft morgen aus, daher werden betroffene wohl zuerst im Internet davon erfahren, bevor Payback dazu Stellung nimmt.
Payback Nutzer teilen eine Menge an personenbezogenen und sensiblen Daten mit dem Unternehmen, daher finde ich den Umgang mit dem Datenschutz an dieser Stelle äußerst problematisch. Möglicherweise zahlt Payback einfach die "Lösegeldsumme" und wir erfahren nie, welche Daten abgeflossen sind. Möglicherweise werden Datenschutzangelegenheiten grundsätzlich so gehandhabt.

Wer möchte, kann natürlich gern sein Glück versuchen und datenschutz@payback.com um Stellungnahme bitten.
Mich würde durchaus interessieren, ob morgen die Daten veröffentlicht werden und wenn ja, ob sich die Kunden dort wiederfinden.

/kernelmode
Zum Vergrößern anklicken....
Das wäre eher ein Fall für die Polizei, wenn auch nur überhaupt. Aber nicht für Vielflieger, die sind Vielflieger und keine Anwälte
 
  • Like
Reaktionen: chrini1
G

Greenie

Erfahrenes Mitglied
11.10.2009
254
58
Ich bin für diesen Beitrag sehr dankbar. Wie das ausgehen wird, kann niemand seriös abschätzen.

Aber ich bin schon einmal von einem solchen Leak betroffen gewesen und
das hatte durchaus auch Unbequemlichkeiten im Alltag zur Folge. Ich habe damals
nicht geklagt, aber das wird mir nicht mehr passieren.

Btw, im richtigen Thread ist er auch. Ich werde auf jeden Fall verfolgen, ob das in
einer Veröffentlichung von persönlichen Daten mündet.
 
  • Like
Reaktionen: SeltenFliegerHH, Frank 1886, fantc und 2 weitere...
Leon K

Leon K

Erfahrenes Mitglied
06.01.2023
685
442
Greenie meinte:
Ich bin für diesen Beitrag sehr dankbar. Wie das ausgehen wird, kann niemand seriös abschätzen.

Aber ich bin schon einmal von einem solchen Leak betroffen gewesen und
das hatte durchaus auch Unbequemlichkeiten im Alltag zur Folge. Ich habe damals
nicht geklagt, aber das wird mir nicht mehr passieren.

Btw, im richtigen Thread ist er auch. Ich werde auf jeden Fall verfolgen, ob das in
einer Veröffentlichung von persönlichen Daten mündet.
Zum Vergrößern anklicken....
Aber macht es dann nicht mehr für ihn Sinn, einen Rechtsanwalt zu kontaktieren, als Vielflieger zu kontaktieren? Mehr als Beleid aussprechen können wir ja auch nicht…
 
G

Greenie

Erfahrenes Mitglied
11.10.2009
254
58
Leon K meinte:
Aber macht es dann nicht mehr für ihn Sinn, einen Rechtsanwalt zu kontaktieren, als Vielflieger zu kontaktieren? Mehr als Beleid aussprechen können wir ja auch nicht…
Zum Vergrößern anklicken....

Hier geht's doch um Payback Themen? Weniger ums Fliegen?

Und es ist ein Hinweis auf ein potentielles Problem.
Es ist viel zu früh den TE zu steinigen. Wenn Payback betroffen ist und
Daten verloren haben sollte, gehört das sicher hierher. Wir werden sehen...
 
G

geos

Erfahrenes Mitglied
23.02.2013
11.979
6.199
kernelmode meinte:
Die bisher veröffentlichten Daten zeigen Excel Tabellen mit Gehaltsinformationen der Mitarbeiter und interner Abrechnungen, keine Daten von Payback Kunden.
Zum Vergrößern anklicken....
Dann ist also auch keineswegs klar, ob Kundendaten betroffen sind. Wieso soll Payback dann da Kunden gegenüber etwas verlauten? Vermutlich haben sie selbst noch keinen vollen und abschließenden Überblick.
 
G

geos

Erfahrenes Mitglied
23.02.2013
11.979
6.199
Ist folgendes gemeint?
www.heise.de

Neue kritische MOVEit-Sicherheitslücke – Cybergang Cl0p veröffentlicht Namen

Während Progress die dritte kritische Lücke in MOVEit Transfer in kurzer Zeit meldet, veröffentlicht die Cybergang Cl0p Namen von Einbruchsopfern.
www.heise.de www.heise.de
www.heise.de

Cybergang Cl0p nennt weitere namhafte Opfer der Einbrüche durch MOVEit-Lücke

Die Liste der Cl0p-Opfer wird stetig länger. Jetzt wurden weitere namhafte Opfer bekannt: EY, PWC, Schneider Electric und Siemens Energy sind darunter.
www.heise.de www.heise.de
 
K

kernelmode

Neues Mitglied
25.12.2022
3
0
chrini1 meinte:
Wenn Du doch beruflich damit zu tun hast, dann weißt doch genau, was das normale Vorgehen in einem solchen Fall ist. Und ein Punkt der dazu gehört: Der Öffentlichkeit gegenüber erst einmal die Klappe zu halten. Und selbst wenn: aktuell ist und bleibt es eine Behauptung von vermutlichen Russischen Hackern.
Zum Vergrößern anklicken....
Gerade in solchen Situationen ist es für das betroffene Unternehmen wichtig zu kommunizieren. Wenn Unternehmen Sicherheitsvorfälle verschweigen, schadet das dem Vertrauen der Nutzer / Kunden. Vor allem wenn keine Kundendaten betroffen sind, ist es doch kein Problem ein Statement abzugeben. Das schafft vertrauen.

Leon K meinte:
Das wäre eher ein Fall für die Polizei, wenn auch nur überhaupt. Aber nicht für Vielflieger, die sind Vielflieger und keine Anwälte
Zum Vergrößern anklicken....
Leon K meinte:
Aber macht es dann nicht mehr für ihn Sinn, einen Rechtsanwalt zu kontaktieren, als Vielflieger zu kontaktieren? Mehr als Beleid aussprechen können wir ja auch nicht…
Zum Vergrößern anklicken....
Das ist mein Erfahrungsbericht mit Payback und deren Umgang mit der aktuellen Situation. Ich weiß nicht, ob personenbezogene Daten betroffen sind, denn Payback ignoriert seit Wochen Kundenanfragen zu diesem Thema. Natürlich soll jeder seine eigenen Schlüsse daraus ziehen und für einige spielt es keine Rolle, wie mit Nutzerdaten umgegangen wird, oder ob Sicherheitsvorfälle verschwiegen werden. Für mich hingegen ist das durchaus wichtig, aber falls dieser Thread die wirklich wichtigen Vielflieger Diskussionen über "Welches Zeitschriften Abo bringt maximal Punkte" und "Wie kann man Revolut ausnutzen" unterbrochen hat, bitte ich höflichst um Entschuldigung!

Ohnehin gibt es keinen Grund zur Sorge, denn "Sie vertrauen zu Recht auf den seriösen Umgang mit ihren Daten. Denn bei PAYBACK hat Datenschutz oberste Priorität."
 
globetrotter11

globetrotter11

Erfahrenes Mitglied
07.10.2015
14.752
10.808
CPT / DTM
kernelmode meinte:
Wäre euch das tatsächlich egal, wenn eure Payback Daten morgen publiziert werden?
Zum Vergrößern anklicken....

Vollkommen egal wäre es mir.

Wirklich....

Und ernsthaft.

Wer bei der Datenkrake Payback seine richtigen personenbezogenen Daten angibt, hat es nicht besser verdient.....

Mit meinen Daten und denen der Hamsterzucht kann kein noch so gewiefter russischer Hacker etwas anfangen.

Auch Payback nicht...
 
  • Like
Reaktionen: Frank 1886 und imfromgermany
F

fantc

Erfahrenes Mitglied
03.06.2013
1.637
426
akswiff meinte:
Gibt es dazu auch eine Aussage von Fachexperten oder qualifiziert dich irgendetwas?
Zum Vergrößern anklicken....
Über den Angriff gibt es diverse Artikel auf einschlägigen IT Portalen. Wenn Payback was bei Moveit hatte, dann hat die Gruppe es abgegriffen. Da kann man nur hoffen, dass es nicht die Kundendaten waren, sonst wird der eh schon häufige Punkteklau gravierend zunehmen.
Beitrag automatisch zusammengeführt:

globetrotter11 meinte:
Vollkommen egal wäre es mir.

Wirklich....

Und ernsthaft.

Wer bei der Datenkrake Payback seine richtigen personenbezogenen Daten angibt, hat es nicht besser verdient.....

Mit meinen Daten und denen der Hamsterzucht kann kein noch so gewiefter russischer Hacker etwas anfangen.

Auch Payback nicht...
Zum Vergrößern anklicken....
Dir ist es vielleicht egal, aber Millionen von anderen nicht. Und als du mit Payback angefangen hast, hast du bestimmt auch mal reale Daten verwendet, auch wenn man inzwischen nur mit Hamstern einkauft. Das kommt dann potentiell alles in die falschen Hände.
 
  • Like
Reaktionen: Frank 1886 und red_travels
chrini1

chrini1

Erfahrenes Mitglied
26.03.2013
6.870
6.358
HAM
kernelmode meinte:
Gerade in solchen Situationen ist es für das betroffene Unternehmen wichtig zu kommunizieren. Wenn Unternehmen Sicherheitsvorfälle verschweigen, schadet das dem Vertrauen der Nutzer / Kunden. Vor allem wenn keine Kundendaten betroffen sind, ist es doch kein Problem ein Statement abzugeben. Das schafft vertrauen.
Zum Vergrößern anklicken....
Wenn es erwiesen ist. Aber zum jetztigen Zeitpunkt bleibt nicht mehr als die Behauptung einer russischen Hackergruppe.
 
Um antworten zu können musst
du eingeloggt sein.
Oben Unten