Das als Dienstleister im Bankbereich mit Banking-Apps agierende Startup Dave wurde wohl erfolgreich gehackt. Aktuell werden Kundendaten (keine Finanzdaten) in Hackerforen eingestellt.
Anzeige
Bei der Dave Inc. (dave.com) handelt es sich um einen 2016 gegründetes Startup, welches sich als digitaler Bankdienst positioniert. Unter dem Slogan Banking for Humas bietet der Dienst Bankkonten an, bei denen keine Überziehungsgebühren anfallen, und bietet Darlehen für Konten von Einzelpersonen bei ihren Banken zum Schutz vor Überziehung an.
Der Algorithmus sagt voraus, wann die Ausgaben eines Benutzers seinen Kontostand übersteigen können, und sendet eine Benachrichtigung und die Option für einen Kredit bis zum nächsten Gehaltsscheck des Benutzers. Der Dienst verlangt statt Überziehungsgebühren 1 US $ pro Monat für die Nutzung der Anwendung und gewährt die Möglichkeit, nach Erhalt eines Kredits "Trinkgeld" zu geben. Das Startup hatte kürzlich eine Bewertung von 1 Milliarde US $.
Dave data breach affects 7.5 million users, leaked on hacker forum – @LawrenceAbramshttps://t.co/qsi84S06YN
— BleepingComputer (@BleepinComputer) July 26, 2020
Allerdings ist es Hackern gelungen, in die IT-Systeme des Startups einzubrechen, wie Bleeping Computer in obigem Tweet und ZDNet in diesem Artikel schreiben. Die Hacker konnten eine Datenbank mit 7,5 Millionen Benutzerdatensätzen kopieren, die sie dann in einer Auktion verkauft und später in Hackerforen kostenlos veröffentlicht haben.
Anzeige
Nachdem die Daten ins Hackerforum eingestellt wurden, hat dave.com den Datenschutzvorfall einen Tag später gegenüber Bleeping Computer zugegeben. Laut Angaben der Firma wurde Waydev, ein ehemaliger Drittanbieter, der von der Firma genutzt wurde, gehackt. In Folge erhielten die Hacker dann auch Zugriff auf die Dave-Datenbank mit den Benutzerdaten. Dazu heißt es:
As the result of a breach at Waydev, one of Dave's former third party service providers, a malicious party recently gained unauthorized access to certain user data at Dave, including user passwords that were stored in hashed form, using bcrypt, an industry-recognized hashing algorithm.
"Zu den gestohlenen Informationen gehörten auch einige persönliche Benutzerdaten, darunter Namen, E-Mails, Geburtsdaten, physische Adressen und Telefonnummern. Wichtig ist, dass dies keine Auswirkungen auf Bankkontonummern, Kreditkartennummern, Aufzeichnungen von Finanztransaktionen oder unverschlüsselte Sozialversicherungsnummern hatte. Dave hat keine Beweise dafür, dass unautorisierte Handlungen mit irgendwelchen Konten vorgenommen wurden oder dass irgendein Benutzer durch diesen Vorfall einen finanziellen Verlust erlitten hat.
Laut diesen Angaben wurden keine Finanzdaten, sondern nur persönliche Benutzerdaten erbeutet. Der Ärger für die Betroffenen dürfte aber beträchtlich sein. Das Beispiel zeigt wieder einmal, dass man die Finger von solchen Startups lassen sollte, wenn einem der Schutz der Bankdaten wichtig ist.
Anzeige