Samsung Electronics informiert derzeit einige seiner Kunden über ein Datenleck, das ihre persönlichen Informationen einem unbefugten Dritten preisgegeben hat.
Das Unternehmen gibt an, dass der Cyberangriff nur Kunden betroffen hat, die zwischen dem 1. Juli 2019 und dem 30. Juni 2020 Einkäufe im Samsung UK Online-Shop getätigt haben.
Hacker nutzt Schwachstelle in Drittanbieter-App Samsung entdeckte das Datenleck vor zwei Tagen, am 13. November, und stellte fest, dass es das Ergebnis eines Hackers war, der eine Schwachstelle in einer von Samsung genutzten Drittanbieter-Anwendung ausnutzte.
Es wurden keine Details über das Sicherheitsproblem, das beim Angriff ausgenutzt wurde, oder die anfällige Anwendung, die es dem Angreifer ermöglichte, auf persönliche Informationen von Samsung-Kunden zuzugreifen, zur Verfügung gestellt.
Laut der Benachrichtigung an die Kunden könnten die preisgegebenen Daten Namen, Telefonnummern, Post- und E-Mail-Adressen umfassen. Das Unternehmen betont, dass Zugangsdaten oder Finanzinformationen von dem Vorfall nicht betroffen sind.
Ein Sprecher von Samsung sagte BleepingComputer, dass das Unternehmen kürzlich über einen Cybersicherheitsvorfall informiert wurde, der sich auf die UK-Region beschränkt und keine Daten von Kunden in den USA, Mitarbeitern oder Einzelhändlern betrifft.
Das Unternehmen hat alle notwendigen Schritte unternommen, um das Sicherheitsproblem zu adressieren, so der Vertreter gegenüber BleepingComputer, und fügte hinzu, dass der Vorfall auch dem britischen Information Commissioner’s Office gemeldet wurde.
Dies ist das dritte Datenleck, das Samsung in zwei Jahren erleidet. Das letzte ereignete sich Ende Juli 2023 – entdeckt am 4. August, als Hacker auf Namen, Kontakte und demografische Informationen, Geburtsdaten und Produktregistrierungsdaten von Samsung-Kunden zugriffen und diese stahlen.
Im März 2023 durchbrach die Datenerpressergruppe Lapsus$ das Netzwerk von Samsung und stahl vertrauliche Informationen, einschließlich Quellcode für Galaxy-Smartphones.
Samsung bestätigte, dass „bestimmte interne Daten“ in die Hände einer unbefugten Partei gefallen waren, nachdem Lapsus$ etwa 190 GB archivierte Dateien zusammen mit einer Beschreibung des Inhalts geleakt hatte.