Acer ist einer der bekanntesten Computerhersteller in Taiwan und stellt auf dem Weltmarkt eine bekannte Größe dar. Seine Aktivitäten umspannen Geschäfte in der ganzen Welt und natürlich gibt es auch einen gut frequentierten Online-Store, der in den jeweiligen Ländern aktiv ist.
Im Juni 2016 gab Acer zu, dass es einen Datendiebstahl im besagten Online-Store gegeben hat, der unter anderem die Kreditkartendaten von rund 35000 Kunden betraf, die dort eingekauft hatten. Dieser Hacking-Vorfall lässt sich zwar nicht mit dem Skandal vergleichen, der Yahoo im vergangenen Jahr getroffen hat, aber die Auswirkungen sind für den Computerhersteller Acer spürbar.
Yahoo hatte zugegeben, dass insgesamt über 500 Millionen Kundendaten in die Hände von Hackern gefallen waren. Das betraf vor allem E-Mail-Accounts und nicht unbedingt Kreditkartendaten. Außerdem sagen Experten, dass viele Yahoo-Accounts gar nicht mehr genutzt werden und die Daten entsprechend veraltet sind. Dennoch nutzen viele User noch immer Services wie den Bilderdienst Flickr, der ebenfalls zu Yahoo gehört und loggen sich dort mit den alten Zugangsdaten ein.
Mittlerweile behauptet Yahoo, das Problem im Griff zu haben und fordert alle Kunden auf, ihre Zugangsdaten zu ändern. Trotzdem ist die schiere Zahl an betroffenen Kunden an sich schon ein echter Hammer. Vergleichsweise klein mutet dagegen der Hacking-Angriff auf Acer an, wenngleich Kreditkartendaten potenziell mehr Schaden anrichten können als ein veraltetes E-Mail-Passwort.
Um größeren Schadensersatzforderungen aus dem Weg zu gehen, hat Acer nun einem Vergleich zugestimmt. Der Elektronikkonzern einigte sich mit dem New Yorker Generalstaatsanwalt auf die Zahlung von 115.000 US-Dollar und sagte zu, die digitale Sicherheit auf seinen Webseiten deutlich zu verbessern. Die Ermittlungen der Staatsanwaltschaft hatten nämlich ergeben, dass der Technische Support von Acer selbst für einige ernste Sicherheitslücken im System verantwortlich war.
Zum einen wurde die gesamte E-Commerce-Plattform des Unternehmens beinahe ein Jahr lang im sogenannten Debug-Modus betrieben. Dieser Modus hilft Entwicklern normalerweise dabei, Fehler auf Webseiten zu lokalisieren und zu eliminieren. Für diesen Zweck werden dann auch ansonsten verschlüsselte Daten in unverschlüsselten Text-Logbüchern gespeichert, damit sie von den Programmieren ausgewertet werden können.
Dieser Modus ist aber nur für kurzfristige Benutzung gedacht und sollte keinesfalls zur Standardeinstellung werden. Die Ermittler fanden heraus, dass Acers Seite zwischen Juli 2015 und April 2016 in dieser unsicheren Konfiguration betrieben wurde. Außerdem war eine falsche Einstellung dafür verantwortlich, dass nicht autorisierte Benutzer problemlos die internen Ordnerstrukturen auf dem Server der Acer-Website durchsuchen konnten. All dies hat den Datendiebstahl erheblich vereinfacht, so die Staatsanwaltschaft.
Ob tatsächlich ein Schaden durch Hacker entstanden ist, lässt sich in der Regel nur schwer eindeutig identifizieren, da die gestohlenen Daten nicht immer zu einem direkten finanziellen Schaden führen. Im Falle von Kreditkartendaten hängt es davon ab, ob sie im großen Stil und gebündelt verkauft wurden und somit der Verdacht besteht, dass sie aus dem betreffenden Hackerangriff stammen.
Im Falle von Acer scheint zumindest eine Hackergruppe die Sicherheitslücken bemerkt zu haben und hat im Zeitraum zwischen November 2015 und April 2016 offenbar Daten im großen Stil abgegriffen. Darunter befanden sich sensible Informationen wie Kundennamen, Benutzernamen, Passwörter und die Postanschrift.
Am gravierendsten war jedoch der Verlust von Kreditkartennummern inklusive Sicherheitscode. Dieser (meist auf der Rückseite der Kreditkarte aufgedruckte) Code wird zur Verifizierung beim Onlinekauf von den meisten Shops verlangt und soll die Sicherheit erhöhen, damit ein Dieb mit den Kreditkartendaten der Vorderseite nichts anfangen kann (und somit nicht nur diese Daten benötigt, sondern die Karte physisch in Händen halten muss).
Werden diese Sicherheitscodes aber zusammen mit den Kreditkartendaten erbeutet, ist der Missbrauch problemlos möglich. Betroffen vom Datendiebstahl waren rund 35000 Kunden aus den USA, Kanada und Puerto Rico.
Bildnachweis: Thinkstock / welcomia