Maine nimmt Meldeportal für Datenschutzverletzungen nach Falschmeldungen vom Netz

Zusammenfassung

Der US-Bundesstaat Maine hat sein öffentliches Portal für Meldungen von Datenschutzverletzungen vorläufig abgeschaltet, nachdem dort gefälschte Offenlegungen veröffentlicht worden waren. Auslöser waren laut BleepingComputer eingereichte Falschmeldungen, die sich als Mitteilungen von Discord und der Social-VR-Plattform VRChat ausgaben. Das Büro des Generalstaatsanwalts von Maine bestätigte in einer am Freitag veröffentlichten Erklärung, dass über das Meldesystem „Täuschungen“ eingereicht wurden. Nach Gesprächen mit VRChat sei klar geworden, dass die gemeldeten Vorfälle erfunden waren und von einer unbekannten Stelle stammten, die mit keinem der beiden Unternehmen verbunden sei. Die falschen Einträge wurden aus der Datenbank entfernt. Zugleich erklärte die Behörde, ihr seien keine aktuellen legitimen Meldungen von Datenschutzverletzungen von VRChat oder Discord bekannt. Der Fall ist relevant, weil das Portal von Journalisten, Forschern und Threat-Intelligence-Firmen genutzt wird, um neue Sicherheitsvorfälle zu verfolgen und zu prüfen, ob Organisationen Cyberangriffe oder Datenschutzverletzungen mit Auswirkungen auf Verbraucher melden.

Nach den fingierten Einträgen hat das Büro des Generalstaatsanwalts von Maine den öffentlichen Zugriff auf die Datenbank für Meldungen von Datenschutzverletzungen vorübergehend deaktiviert. Die Behörde will nun ihre Verfahren überprüfen, um ähnliche Missbrauchsfälle künftig zu erschweren.

Laut der Erklärung der Behörde wurden die Falschmeldungen über das offizielle Meldesystem eingereicht und anschließend veröffentlicht. Vor der Abschaltung wurden eingehende Meldungen automatisch in die öffentliche Datenbank übernommen. Gegenüber BleepingComputer erklärte das Büro des Generalstaatsanwalts, man habe „keine unabhängige Kenntnis von den Datenschutzverletzungen; die einreichende Stelle füllt die Informationen aus und diese erscheinen direkt auf der Website“.

VRChat hatte BleepingComputer bereits zuvor mitgeteilt, dass die Meldung betrügerisch war und unter dem Namen eines erfundenen Mitarbeiters eingereicht wurde. In der gefälschten Offenlegung hieß es, das Unternehmen habe eine Datenschutzverletzung erlitten, von der mehr als 2,4 Millionen Menschen betroffen seien. Nachdem BleepingComputer VRChat auf den Eintrag angesprochen hatte, bestätigte das Unternehmen, dass die Offenlegung falsch sei und nicht von VRChat bei den Behörden in Maine eingereicht worden sei.

Auch für Discord war eine betrügerische Meldung im Portal eingereicht worden. BleepingComputer kontaktierte das Unternehmen dazu, erhielt jedoch keine Antwort. Das Büro des Generalstaatsanwalts erklärte später, nach den Gesprächen mit VRChat, einem von zwei betroffenen Unternehmen, sei deutlich geworden, dass die gemeldeten Datenschutzverletzungen frei erfunden waren und von einer unbekannten Stelle stammten, die mit keinem der beiden Unternehmen in Verbindung stehe.

Unternehmen können Meldungen über Datenschutzverletzungen weiterhin über den Dienst einreichen. Wer als Mitglied der Öffentlichkeit Kopien solcher Offenlegungen erhalten möchte, muss sich nun aber direkt an das Büro des Generalstaatsanwalts wenden.

Wie viele weitere gefälschte Meldungen vor der Sperrung des öffentlichen Zugriffs eingereicht worden sein könnten, ist laut Bericht unklar. Fest steht nur, dass der Vorfall eine Schwachstelle im bisherigen Ablauf offengelegt hat: Weil eingereichte Meldungen automatisch veröffentlicht wurden, ließ sich das Portal nutzen, um Falschinformationen zu verbreiten. Gerade weil Maines Portal regelmäßig von Journalisten, Forschern und Threat-Intelligence-Firmen beobachtet wird, wiegt ein solcher Missbrauch besonders schwer.

Maine nimmt Meldeportal für Datenschutzverletzungen nach Falschmeldungen vom Netz

Ähnliche Artikel

Neueste Artikel