[English]Beim US-Unternehmen United Parcel Service, besser unter dem Kürzel UPS bekannt, hat es einen Datenschutzvorfall gegeben, bei dem Kundeninformationen abgeflossen sind. Bei der Paketverfolgung konnten Dritte wohl mehr Daten eines Paketempfängers einsehen als gewünscht. So werden die Kunden nun Opfer von Phishing-SMS. Betroffen ist UPS-Kanada. Der Paketdienst, der auch in Deutschland tätig ist, hat das Ganze wohl in recht eigenwilliger Weise Betroffenen mitgeteilt.
Anzeige
United Parcel Service (UPS) of America, Inc. ist ein global tätiges US-amerikanisches Kurier-Express-Paket-Dienstunternehmen. UPS macht 74 Milliarden US-Dollar Umsatz (2019) und beschäftigt 496.000 Mitarbeiter weltweit (2019). Und UPS hat wohl einen Datenschutzvorfall erlitten. Vor einigen Stunden kam mir bereits ein Tweet von Sicherheitsanalyst Brett Callow unter die Augen.
Brett Callow hat von UPS-Kanada ein postalische Schreiben erhalten, welches auf den ersten Bild wie eine Aufklärung über Phishing und Smishing daherkommt. Im vierten Abschnitt heißt es, dass UPS festgestellt hat, das Kunden betrügerische Textnachrichten erhalten. Sie würden aufgefordert, Zahlungen zu leisten, damit das Paket zugestellt werden könne. Eine Masche, die in Deutschland gang und gebe ist.
Die Frage ist, wie die Absender der Phishing-Nachrichten an die Empfänger der Adressen kommen. Bei einer internen Untersuchung ist UPS aber darauf gekommen, so heißt es im Schreiben, dass eine Schwachstelle in der Paketverfolgung existiert. Eine Person, die nach einem bestimmten Paket sucht, kann mehr Informationen als vorgesehen von UPS abrufen. Unter den Daten ist auch die Telefonnummer des Empfängers, die dann missbraucht werden kann.
Anzeige
Die Kollegen von Bleeping Computer haben es inzwischen in diesem Artikel aufgegriffen. Das Datenleck betrifft wohl nur UPS-Kanada, aber Kunden sollten auf der Hut sein. Wenn Daten wie Telefonnummern von Dritten erbeutet wurden, können diese auch missbraucht werden. Sehr speziell ist aber die Art und Weise, wie UPS diesen Datenschutzvorfall verpackt hat, um das Problem seinen Kunden mitzuteilen.
Anzeige
Ist diese Überschrift korrekt: "Datenschutzvorfall bei UPS nach SMS-Phishing-Angriff (2023)"…?
Mir scheint das nicht in logisch richtiger Folge zu sein, die SMS-Phishing Welle ist doch Wirkung des Datenschutzvorfalls und nicht die Ursache, oder? Müsste es nicht besser heißen: "SMS-Phishing durch Datenschutzvorfall bei UPS ermöglicht" oder so etwas in der Art?