Wie der österreichische Unternehmen Edis mitgeteilt hat, sind E-Mail Adressen abhandengekommen. In einer Mail informierte der Hoster seine Nutzer über den Verlust der Daten.
Als die Kundenadressen bei der Passwort-Leak-Datenbank Have I Been Pwned (HIBP) erschienen sind, wendete sich Edis an seine Kunden. Wie das Unternehmen zunächst mitteilte, seien die Mail-Adressen aus der firmeneigenen Kundendatenbank entnommen worden. Bank- und Bezahldaten sollen jedoch nicht davon betroffen sein, da diese bei den jeweiligen Bezahldienstleistern hinterlegt sind. Dennoch hatte Edis vorerst seinen Nutzern geraten, schnellstmöglich ihre Passwörter zu ändern.
Vermeintliche Ursache für Datenleck gefunden
Im Verlauf des Tages hatte Edis regelmäßig Status-Updates zu dem Datenvorfall abgegeben. Wie Heise berichtet, sei dabei zu Beginn weder bekannt gewesen, ob es sich um einen Angriff auf das interne System des Hosters gehandelt habe, noch wie groß das Ausmaß des Datenverlustes ist.
Wie Edis jedoch feststellen konnte, ist eine firmeninterne API missbraucht worden. Wie das Unternehmen Heise gegenüber mitteilte, seien nicht die Mail-Adressen der Web-Hosting-Kunden betroffen. Anscheinend geht es um Adressen einer Projekt-Datenbank. Edis versuchte den Vorfall zu relativieren: „Es gab zu keinem Zeitpunkt Zugriff auf persönliche Daten oder sensitive Daten wie Zahlungsinformationen oder Passwörter. EDIS Webhosting war zu keinem Zeitpunkt betroffen", so die Aussage.
Und obwohl sich das Datenleck wohl nur auf eine Projekt-Datenbank zu beschränken scheint, sind dennoch Mail-Adressen ausgelesen worden. Doch der Hoster sah die Anzahl der betroffenen Mail-Adressen in Relation zu seinem gesamten Kundenstamm als weniger dramatisch. Insgesamt handele es sich um 2.947 E-Mail Adressen. „Das ist ein geringer Prozentsatz unserer globalen VPS-Kunden. EDIS bietet VPS in aktuell 26 Länder an", lautete die Stellungnahme des Unternehmens zu dem Datenvorfall.
Mittlerweile sei die Schwachstelle laut Edis behoben. Eine Meldung bei der Datenschutzbehörde zieht der Hoster jedoch nicht in Betracht, da das Datenleck aus Sicht des Unternehmens nicht beachtlich genug wäre.
Kommentar schreiben
Antworten
Wer legt denn die "beachtliche" Relevanz eigentlich fest? Das betroffene Unternehmen?
Ihre Antwort schreiben