Die Reiseseite Daytrip wurde Opfer eines Datenlecks. Das Leck stammt angeblich von einem Drittanbieter. Bis zu 470.000 Kunden könnten gefährdet sein.

Die Reisefirma Daytrip hatte 470.000 Benutzerdatensätze und 762.000 Reiseaufträge online kompromittiert. Das von Cybernews-Forschern entdeckte Datenset war in einer ‚unverschlüsselten MongoDB-Datenbank gespeichert, die von Daytrips Auftragnehmer verwaltet wurde‘ – die Daten enthielten persönlich identifizierbare Informationen (PII). Die durchgesickerten Informationen könnten Benutzer gefährden, insbesondere hinsichtlich Identitätsdiebstahl und Social Engineering-Angriffen, daher sollten alle, die den Service genutzt haben, wachsam mit ihren Informationen umgehen. Die Daytrip-Datenbank wurde inzwischen geschlossen, und das Unternehmen behauptet, die Zusammenarbeit mit dem Anbieter eingestellt zu haben. Hier ist, was wir bisher wissen.

Echte Risiken
Als Online-Fahrtdienst, der in 130 Ländern weltweit tätig ist, verfügten Daytrip erwartungsgemäß über die Adressinformationen vieler Kunden, die im Datenset entdeckt wurden, zusammen mit den vollständigen Namen, E-Mails, Telefonnummern, teilweisen Zahlungsdetails, Rechnungsinformationen und Passagieradressen. Obwohl es keine Beweise dafür gibt, dass das Datenset von Cyberkriminellen gefunden wurde, bestätigten Forscher, dass Kriminelle oft ‚automatisierte Tools haben, die das Web nach ungeschützten Instanzen durchsuchen, um sie sofort herunterzuladen‘. Dies stellt ein reales Risiko für die Betroffenen dar. Dieser Vorfall verdeutlicht die Notwendigkeit einer starken Überwachung von Drittanbietern und Anbietern, insbesondere angesichts der zunehmenden Abhängigkeit und Vernetzung moderner Unternehmen – eine weitere Erinnerung nach dem berüchtigten Ausfall von CrowdStrike, der verdeutlichte, wie wichtig es ist, seinen Anbieter zu kennen. „Die kompromittierte Datenbank befand sich anscheinend unter der Kontrolle eines Daytrip-Subunternehmers, was die Bedeutung eines strengen Anbietermanagements und konsistenter Sicherheitspraktiken bei allen Datenträgern in der Lieferkette unterstreicht“, sagten die Cybernews-Forscher. Forscher betonen die Bedeutung eines Vorfallplans für Unternehmen, der dazu beitragen kann, das Vertrauen von Kunden und Geschäftspartnern nach einem Leck aufrechtzuerhalten und wiederherzustellen sowie den Rufschaden zu begrenzen. Datenlecks können für Unternehmen schädlich sein, aber Transparenz und proaktive Strategien über das rechtliche Minimum hinaus können die Organisation schützen, während verschleierte oder heruntergespielte Lecks das Vertrauen auf allen Ebenen zerstören können.

Schützen Sie Ihre Informationen
Wenn Sie glauben, dass dieses oder ein anderes Leck Sie gefährden könnte, gibt es einige Dinge, die Sie tun können, um sich zu schützen und Risiken zu minimieren. Dieses Leck ist besonders heikel, wie Forscher betonten: „Das Leck enthält eine perfekte Mischung von Daten für Identitätsdiebstahl und Finanzbetrug“, daher empfehlen wir, sehr vorsichtig zu sein, wenn Sie den Service nutzen. Das Hauptrisiko bei dieser Art von Leck ist Identitätsdiebstahl, also werfen Sie einen Blick auf unsere Liste der besten Identitätsdiebstahlschutzsoftware, die speziell für die Überwachung und den Schutz Ihrer Konten und Details entwickelt wurde. Viele von ihnen bieten einen Identitätsdiebstahlschutz, der bis zu 1 Million US-Dollar pro Erwachsenem abdeckt, also ist es zumindest einen Blick wert. Wenn Sie einen Dienst nutzen, der Opfer eines Lecks geworden ist, empfehlen wir dringend, Ihr Passwort zu ändern, und wir empfehlen immer, für alle Ihre wichtigen Seiten einzigartige Passwörter zu verwenden. Opfer sind auch gefährdet durch Social Engineering-Angriffe oder Phishing-Betrügereien, bei denen Angreifer persönliche und spezifische Betrügereien mit den erhaltenen Informationen entwerfen, um mehr Informationen von Ihnen zu stehlen oder Zugang zu Ihren Konten zu erhalten. Wenn Sie nicht sicher sind, was genau ein Phishing-Angriff ist, haben wir einen Erklärungsartikel zusammengestellt – aber der Schlüssel, um nicht Opfer zu werden, besteht darin, allen unerwarteten Kommunikationen misstrauisch zu bleiben und jeden Absender doppelt zu überprüfen – auch wenn Sie denken, dass Sie sie kennen. Gehen Sie niemals Ihre Passwörter weiter oder geben Sie niemandem Zugriff auf Ihre Konten, und achten Sie auf unbestätigte E-Mail-Adressen oder Telefonnummern, und denken Sie daran – es ist äußerst unwahrscheinlich, dass Ihre Bank, Ihr Telefonanbieter oder ein anderes großes Unternehmen Sie anrufen würde, um Zugriff auf Ihre Konten zu erhalten – seien Sie also sehr vorsichtig.