Banking Startup Dave gehackt, Daten in Hackerforen

Das als Dienstleister im Bankbereich mit Banking-Apps agierende Startup Dave wurde wohl erfolgreich gehackt. Aktuell werden Kundendaten (keine Finanzdaten) in Hackerforen eingestellt.


Anzeige

Bei der Dave Inc. (dave.com) handelt es sich um einen 2016 gegründetes Startup, welches sich als digitaler Bankdienst positioniert. Unter dem Slogan Banking for Humas bietet der Dienst Bankkonten an,  bei denen keine Überziehungsgebühren anfallen, und bietet Darlehen für Konten von Einzelpersonen bei ihren Banken zum Schutz vor Überziehung an.

Der Algorithmus sagt voraus, wann die Ausgaben eines Benutzers seinen Kontostand übersteigen können, und sendet eine Benachrichtigung und die Option für einen Kredit bis zum nächsten Gehaltsscheck des Benutzers. Der Dienst verlangt statt Überziehungsgebühren 1 US $ pro Monat für die Nutzung der Anwendung und gewährt die Möglichkeit, nach Erhalt eines Kredits "Trinkgeld" zu geben. Das Startup hatte kürzlich eine Bewertung von 1 Milliarde US $.

Allerdings ist es Hackern gelungen, in die IT-Systeme des Startups einzubrechen, wie Bleeping Computer in obigem Tweet und ZDNet in diesem Artikel schreiben. Die Hacker konnten eine Datenbank mit 7,5 Millionen Benutzerdatensätzen kopieren, die sie dann in einer  Auktion verkauft und später in Hackerforen kostenlos veröffentlicht haben.


Anzeige

Nachdem die Daten ins Hackerforum eingestellt wurden, hat dave.com den Datenschutzvorfall einen Tag später gegenüber Bleeping Computer zugegeben. Laut Angaben der Firma wurde Waydev, ein ehemaliger Drittanbieter, der von der Firma genutzt wurde, gehackt. In Folge erhielten die Hacker dann auch Zugriff auf die Dave-Datenbank mit den Benutzerdaten. Dazu heißt es:

As the result of a breach at Waydev, one of Dave's former third party service providers, a malicious party recently gained unauthorized access to certain user data at Dave, including user passwords that were stored in hashed form, using bcrypt, an industry-recognized hashing algorithm.

"Zu den gestohlenen Informationen gehörten auch einige persönliche Benutzerdaten, darunter Namen, E-Mails, Geburtsdaten, physische Adressen und Telefonnummern. Wichtig ist, dass dies keine Auswirkungen auf Bankkontonummern, Kreditkartennummern, Aufzeichnungen von Finanztransaktionen oder unverschlüsselte Sozialversicherungsnummern hatte. Dave hat keine Beweise dafür, dass unautorisierte Handlungen mit irgendwelchen Konten vorgenommen wurden oder dass irgendein Benutzer durch diesen Vorfall einen finanziellen Verlust erlitten hat.

Laut diesen Angaben wurden keine Finanzdaten, sondern nur persönliche Benutzerdaten erbeutet. Der Ärger für die Betroffenen dürfte aber beträchtlich sein. Das Beispiel zeigt wieder einmal, dass man die Finger von solchen Startups lassen sollte, wenn einem der Schutz der Bankdaten wichtig ist.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.