Ein schwerwiegender Cyberangriff auf die Fast-Food-Kette Burger King hat zur Veröffentlichung sensibler Kundendaten geführt. Cybersicherheitsexperten von Data Leakage & Breach Intelligence (DLBI) entdeckten einen Datensatz mit über 5,6 Millionen Einträgen im Internet, der persönliche Informationen von Burger King-Kunden enthält. Dieser Vorfall unterstreicht die zunehmende Bedrohung durch Cyberangriffe auf Unternehmen und die Notwendigkeit robuster Datenschutzmaßnahmen.
Umfang und Art der kompromittierten Daten
Der veröffentlichte Datensatz umfasst 5.627.676 Einträge mit Informationen, die zwischen dem 31. Mai 2018 und dem 25. August 2024 gesammelt wurden. Experten vermuten, dass die Daten aus der mobilen App von Burger King stammen. Die kompromittierten Informationen beinhalten:
- Vor- und Nachnamen
- E-Mail-Adressen
- Telefonnummern
- Geburtsdaten
- Geschlecht
- Wohnadressen
Besonders besorgniserregend ist die Aktualität der Daten, die bis ins Jahr 2024 reichen. Dies deutet darauf hin, dass der Angriff möglicherweise über einen längeren Zeitraum unentdeckt blieb.
Reaktion von Burger King und Sicherheit der Zahlungsdaten
In einer offiziellen Stellungnahme bestätigte Burger King den Vorfall, betonte jedoch, dass keine Zahlungsinformationen kompromittiert wurden. Das Unternehmen erklärte:
„Wir garantieren, dass Zahlungsdaten und andere sensible Informationen im Zusammenhang mit Zahlungs- oder Passdaten unserer Nutzer vollständig geschützt sind: Hacker haben keinen Zugriff auf diese Informationen.“
Burger King führt den Angriff auf eine Sicherheitslücke in der Marketing-Automatisierungsplattform Mindbox zurück. Diese Plattform und andere Drittanbieter haben laut Unternehmensangaben keinen Zugriff auf Ausweis- oder Zahlungsdaten der Kunden.
Verbindung zu anderen Datenlecks
Interessanterweise scheint der Burger King-Vorfall Teil einer größeren Angriffsserie zu sein. Der Gründer von DLBI, Ashot Oganesyan, erklärte gegenüber Medien, dass derselbe Hacker auch für einen Angriff auf die Einzelhandelskette „Detsky Mir“ verantwortlich sei. Bei diesem Angriff wurden ebenfalls Kundendaten wie Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten kompromittiert.
Zeitlicher Ablauf und Motivation des Angreifers
Laut Oganesyan fand der eigentliche Angriff bereits im August 2023 statt, doch die gestohlenen Daten wurden erst kürzlich veröffentlicht. „Heute hat [der Hacker] einen Sinneswandel erlebt und die Daten hochgeladen“, erklärte der Experte. Diese verzögerte Veröffentlichung wirft Fragen über die Motive des Angreifers und mögliche weitere, noch nicht entdeckte Datenlecks auf.
Dieser Vorfall unterstreicht die kritische Bedeutung robuster Cybersicherheitsmaßnahmen für Unternehmen aller Größenordnungen. Organisationen müssen ihre Sicherheitsprotokolle kontinuierlich überprüfen und aktualisieren, um sich vor sich ständig weiterentwickelnden Bedrohungen zu schützen. Kunden sollten wachsam bleiben, ihre Konten auf verdächtige Aktivitäten überwachen und starke, einzigartige Passwörter für alle Online-Dienste verwenden. In einer zunehmend digitalisierten Welt ist der Schutz persönlicher Daten eine gemeinsame Verantwortung von Unternehmen und Verbrauchern.
