Wie Starbucks mitteilte, wurde der unbefugte Zugriff auf Konten des Portals Partner Central am 6. Februar bemerkt. Das System dient Beschäftigten – intern als “Partner” bezeichnet – zur Verwaltung ihrer persönlichen Daten sowie ihrer Lohn- und Leistungsabrechnungen.
Nach den bislang nur begrenzt veröffentlichten Angaben des Konzerns wurden weder die Systeme von Starbucks direkt ins Visier genommen noch die Netzwerke kompromittiert. Eine Untersuchung ergab, dass sich die Angreifer Zugang zu den Konten verschafften, nachdem sie Zugangsdaten über einen Phishing-Angriff erbeutet hatten. Dabei nutzten sie gefälschte Webseiten, die das echte Portal nachbildeten.
In einer Benachrichtigung an die betroffenen Beschäftigten erklärte das Unternehmen, dass ein unbefugter Dritter möglicherweise auf einen Teil ihrer persönlichen Daten zugegriffen habe – darunter Name und Sozialversicherungsnummer, Geburtsdatum sowie die Nummer des Finanzkontos und die zugehörige Bankleitzahl.
Die Strafverfolgungsbehörden wurden über den Vorfall informiert. Betroffenen Mitarbeitern bietet Starbucks kostenlose Dienste zum Schutz vor Identitätsmissbrauch an.
Aus einer bei der Generalstaatsanwaltschaft von Maine eingereichten Meldung geht hervor, dass nahezu 900 Beschäftigte betroffen sind; in den Vereinigten Staaten arbeiten mehr als 200.000 Menschen für den Konzern. Der unbefugte Zugriff auf die Konten erfolgte demnach zwischen dem 19. Januar und dem 11. Februar.
