Ein unbekannter Hacker ist in den ClassPad-Server von Casio eingedrungen und hat eine Datenbank mit persönlichen Daten von Kunden in 149 Ländern kopiert. ClassPad ist eine Web-App für den Bildungsbereich die von Casio vertrieben wird. Die meisten Betroffenen sind Schüler und Studenten.
Der Cyberkriminelle hatte bis zum 18. Oktober Zugriff auf eine Datenbank mit 91․921 Einträgen von japanischen Kunden und 35․049 Einträgen von Kunden aus 148 anderen Ländern. Die kopierten Daten enthalten Namen, E-Mail-Adressen, Anschriften Kaufinformationen Zahlungsmethoden, Lizenzcodes und Informationen über die Nutzung der Dienste.
Casio stellt klar, dass das Unternehmen grundsätzlich keine Kreditkarteninformationen der Kunden speichert und der Hacker deshalb keinen Zugriff auf Bankdaten hatte. Die Sicherheitslücke entstand durch fehlerhafte Einstellungen in der Entwicklungsumgebung des Unternehmens die es dem Eindringling ermöglichten, unbefugten Zugriff zu erhalten.
Die ClassPad.net-App von Casio ist von dem Hack nicht betroffen und kann weiterhin genutzt werden. Casio hat den Zugriff von außen auf alle Datenbanken in der Entwicklungsumgebung gesperrt und arbeitet mit einer externen Sicherheitsfirma zusammen um den Vorfall zu untersuchen.
Casio hat den Vorfall den Strafverfolgungsbehörden und ebenfalls der japanischen Kommission für den Schutz persönlicher Daten und der Zertifizierungsorganisation PrivacyMark gemeldet. Das Unternehmen wird alle Kunden kontaktieren deren Daten möglicherweise betroffen sind und hat ein Kontaktformular eingerichtet um auf Anfragen zu antworten.
In dieser Woche wurden mehrere große Hacks bekannt, darunter auch der zweite Diebstahl von Daten des Biotech-Konzerns 23andMe. Der Hacker hat den Downloadlink im Hackerforum Breached veröffentlicht und zahlreiche Mirrors des Archivs bei verschiedenen Sharehostern hochgeladen.
Es handelt sich um den gleichen Hacker der bereits vor zwei Wochen in das Biotech-Unternehmen eingebrochen ist und Profildaten von 23andMe veröffentlicht hat.
Kommentare