Marquis, ein Anbieter von Marketing- und Compliance-Lösungen für Kreditgenossenschaften und Banken, hat den Umfang eines bereits im Vorjahr offengelegten Datenlecks konkretisiert: Nach Angaben des Unternehmens sind rund 672.000 Personen betroffen. Das texanische Unternehmen entdeckte im August 2025, dass Angreifer Zugriff auf seine Systeme erlangt hatten. In einer im Dezember veröffentlichten Mitteilung berichtete Marquis, dass die Täter persönliche Daten entwendet hätten – darunter Namen, Anschriften, Sozialversicherungsnummern, Geburtsdaten, Steueridentifikationsnummern sowie Finanzdaten einschließlich Zahlungskartennummern. Diese Informationen hatte Marquis im Auftrag von Dutzenden der insgesamt 700 Banken und Kreditgenossenschaften gespeichert, die das Unternehmen betreut. Eine Gesamtzahl der Betroffenen nannte Marquis in seiner ersten Offenlegung nicht. Auf Basis der Angaben an Behörden in verschiedenen US-Bundesstaaten sowie eigener Meldungen der betroffenen Finanzinstitute war zuvor von mindestens 780.000 Betroffenen ausgegangen worden; Comparitech schätzte die Zahl im Februar 2026 sogar auf bis zu 1,6 Millionen. Diese Woche teilte Marquis dem Büro des Generalstaatsanwalts von Maine nun mit, dass es sich um gut 672.000 Personen handelt.
Die neue, niedrigere Zahl lässt sich nach Einschätzung möglicherweise damit erklären, dass die zuvor von einzelnen Banken und Kreditgenossenschaften gemeldeten Werte überlappten: Kunden mit Konten bei mehreren Instituten könnten dabei mehrfach gezählt worden sein. Wenn 672.000 die tatsächliche Zahl der Betroffenen ist, würde dies die deutlich höheren früheren Schätzungen relativieren.
Zum Hergang des Angriffs erklärte Marquis bereits zuvor, die Täter hätten eine Schwachstelle in einer SonicWall-Firewall ausgenutzt. Um den Zeitpunkt herum, zu dem das Unternehmen den Angriff entdeckte, hatte die Ransomware-Gruppe Akira ihre Ausnutzung von Schwachstellen in SonicWall-Firewalls verstärkt.
Zur Urheberschaft des Angriffs hat sich bislang keine Cybercrime-Gruppe bekannt. Comparitech berichtete allerdings zuvor, dass eine inzwischen entfernte Datenschutzmeldung einer Kreditgenossenschaft aus Iowa offengelegt habe, dass Marquis ein Lösegeld gezahlt habe. Diese Behauptung hat das Fintech-Unternehmen bislang nicht bestätigt.
Auf eine entsprechende Anfrage von SecurityWeek, die Angabe zu bestätigen oder zu dementieren, reagierte Marquis zunächst nicht.