Die Cyberkriminellen-Vereinigung Hellcat hat erneut den spanischen Telekommunikationsriesen Telefónica ins Visier genommen. Ein Sprecher der Gruppe mit dem Pseudonym „Rey“ behauptet, 106 Gigabyte vertraulicher Unternehmensdaten erbeutet zu haben und droht mit deren vollständiger Veröffentlichung. Der Vorfall wirft ernste Fragen zur IT-Sicherheit des internationalen Konzerns auf.
Chronologie des mutmaßlichen Sicherheitsvorfalls
Nach Angaben des Hackers Rey erfolgte der Angriff am 30. Mai 2025. Über einen Zeitraum von mehr als zwölf Stunden soll unbefugter Zugriff auf interne Systeme bestanden haben, bevor die Administratoren das Eindringen entdeckten und die Verbindung unterbrachen.
Als Beweis für die Behauptungen veröffentlichte die Gruppe ein 2,6 GB großes Archiv, das nach dem Entpacken etwa 5 Gigabyte Daten mit über 20.000 Dateien enthält. Der Gesamtumfang der angeblich gestohlenen Informationen beläuft sich laut Rey auf 385.311 Dateien mit einem Volumen von 106,3 GB.
Analyse der kompromittierten Datentypen
Die Untersuchung der bereitgestellten Datenproben offenbart eine besorgniserregende Bandbreite an geschäftskritischen Informationen:
Interne Kommunikation umfasst Service-Tickets und E-Mail-Korrespondenz zwischen Mitarbeitern. Geschäftsdokumente enthalten Lieferantenbestellungen und Rechnungen für Firmenkunden. Systemprotokolle beinhalten interne Logs der IT-Infrastruktur, während personenbezogene Daten sowohl Kundenaufzeichnungen als auch Mitarbeiterinformationen umfassen.
Besonders alarmierend ist der internationale Umfang der betroffenen Daten. Die Informationen stammen aus Niederlassungen in Spanien, Deutschland, Ungarn, Chile, Peru und Argentinien, was die globale Reichweite des potentiellen Sicherheitsvorfalls unterstreicht.
Wiederholte Schwachstellen in der Jira-Konfiguration
Dieser Vorfall markiert bereits den zweiten Angriff der Hellcat-Gruppe auf Telefónica in diesem Jahr. Im Januar 2025 kompromittierten die Cyberkriminellen bereits einen internen Entwicklungs- und Ticket-Server, der auf der Jira-Plattform basierte.
Rey behauptet, dass auch der aktuelle Angriff über eine fehlkonfigurierte Jira-Installation erfolgte. Diese Wiederholung deutet auf systematische Schwächen in der Sicherheitskonfiguration der Unternehmensanwendungen hin und unterstreicht die Notwendigkeit umfassender Sicherheitsaudits.
Unternehmensreaktion und Datenverifikation
Telefónica bestreitet vehement einen neuen Cyberangriff und bezeichnet die Situation als Erpressungsversuch mit veralteten Informationen aus dem vorherigen Vorfall. Diese Einschätzung wird teilweise durch eine unabhängige Analyse von Bleeping Computer gestützt.
Die Überprüfung der Dateien ergab, dass die neuesten Dokumente aus dem Jahr 2021 stammen, was die Behauptungen über einen aktuellen Angriff in Frage stellt. Dennoch bestätigt die Existenz gültiger E-Mail-Adressen aktueller Telefónica-Mitarbeiter die Authentizität zumindest eines Teils der kompromittierten Daten.
Eskalation und Verbreitung der Daten
Trotz der Dementis des Unternehmens setzt Rey die Eskalation fort und verbreitet die Daten über verschiedene Filesharing-Dienste. Nach der Entfernung der Dateien von PixelDrain aufgrund rechtlicher Anforderungen wechselte der Hacker zur Plattform Kotizada, die von Google Chrome als potentiell gefährlich eingestuft wird.
Die Verwendung unsicherer Plattformen zur Datenverbreitung erhöht das Risiko für Personen, die auf diese Informationen zugreifen, erheblich und kann zu weiteren Sicherheitsverletzungen führen.
Dieser Vorfall verdeutlicht die kritische Bedeutung kontinuierlicher Sicherheitsaudits für Unternehmensanwendungen, insbesondere für Projektmanagement- und Ticketing-Systeme. Organisationen müssen der ordnungsgemäßen Konfiguration von Jira und ähnlichen Plattformen höchste Priorität einräumen, da deren Kompromittierung zu großflächigen Datenlecks führen kann. Regelmäßige Penetrationstests und die Implementierung von Zero-Trust-Sicherheitsmodellen sind essentiell für den Schutz sensibler Unternehmensdaten.
