Auslöser des Vorfalls war ein gezielter Telefon-Phishing-Angriff auf einen Mitarbeiter der Sicherheitsfirma Aura. Über das so kompromittierte Konto erhielten die Angreifer nach Darstellung des Unternehmens für etwa eine Stunde Zugriff.

Nach eigenen Angaben reagierte Aura unmittelbar nach Entdeckung des Vorfalls: Der Zugang zu dem Konto sei sofort gesperrt und der Notfallplan in Kraft gesetzt worden. Zudem habe man externe Fachleute für Cybersicherheit und Recht hinzugezogen sowie die Strafverfolgungsbehörden informiert.

Die Angreifer griffen den Angaben zufolge rund 900.000 Datensätze ab. Der größte Teil davon besteht aus Namen und E-Mail-Adressen, die in einem Marketing-Tool gespeichert waren. Dieses Werkzeug wurde laut Aura von einem Unternehmen verwendet, das Aura 2021 übernommen hatte.

Zu den kompromittierten Informationen zählen nach Unternehmensangaben Namen, E-Mail- und Postadressen sowie Telefonnummern von etwa 20.000 aktuellen und rund 15.000 ehemaligen Kunden. Sozialversicherungsnummern, Passwörter oder Finanzdaten seien dagegen nicht betroffen, heißt es in der Mitteilung des Unternehmens.

Sensible Kundendaten würden verschlüsselt gespeichert, und der Zugriff darauf sei stark eingeschränkt, erklärt Aura. Die Systeme seien gezielt so gebaut, dass sich eine mögliche Offenlegung von Kundendaten im Fall eines Einbruchs begrenzen lasse; die entsprechenden organisatorischen, technischen und physischen Schutzmaßnahmen hätten bei diesem Vorfall “wie vorgesehen” funktioniert.

Das Unternehmen hat nach eigenen Angaben begonnen, die betroffenen Kunden zu benachrichtigen und ihnen die notwendige Unterstützung zukommen zu lassen. Ein “erheblich erhöhtes” Risiko bestehe für die Betroffenen nach Einschätzung von Aura jedoch nicht.

Wann der Angriff stattfand und wer dafür verantwortlich sein könnte, teilte Aura nicht mit. SecurityWeek hat das Unternehmen für weitere Auskünfte angeschrieben. Aura mit Sitz in Burlington im US-Bundesstaat Massachusetts bietet Verbrauchern Sicherheitslösungen wie Schutz vor Identitätsdiebstahl, Betrugsschutz sowie Netzwerk- und Geräteschutz.