Blockchain-Fintech Figure bestätigt schweren Datendiebstahl nach Social-Engineering-Angriff. Die Attacke ist Teil einer globalen Welle von Verbraucherdaten-Leaks.
Einem Angriff mit gefälschten Identitäten ist zum Opfer gefallen: Das blockchain-basierte Fintech-Unternehmen Figure Technology Solutions hat einen umfangreichen Datendiebstahl bestätigt. Kompromittiert wurden die persönlichen Informationen von fast einer Million Nutzern. Verantwortlich für den Hack zeichnet sich die berüchtigte Gruppe ShinyHunters, die die Daten nach eigenen Angaben online stellte, nachdem das Unternehmen ein Lösegeld verweigerte. Der Vorfall unterstreicht die anhaltende, globale Bedrohungslage für Verbraucherdaten.
Der aktuelle Angriff auf Figure zeigt drastisch, wie gezieltes Social Engineering technische Hürden einfach umgeht. Dieser kostenlose Experten-Report enthüllt die psychologischen Strategien der Hacker und bietet eine konkrete 4-Schritte-Anleitung zur Abwehr solcher Phishing-Attacken. Anti-Phishing-Paket für Unternehmen kostenlos herunterladen
So funktionierte der Angriff auf Figure
Der Einfall gelang nicht durch eine technische Schwachstelle in der Blockchain, sondern durch geschickte Menschenführung. Die Angreifer täuschten einen Mitarbeiter und erschlichen sich so Zugang zu den Systemen. Diese Methode, bekannt als Social Engineering oder Voice Phishing, umgeht traditionelle Sicherheitsbarrieren und nutzt den Menschen als schwächstes Glied in der Kette aus.
Einmal im System, exfiltrierten die Hacker rund 2,5 Gigabyte an sensiblen Kundendateien. Enthalten sein sollen vollständige Namen, Privatadressen, Geburtsdaten und Telefonnummern. Direkte Finanzdaten waren laut Unternehmen nicht betroffen. Für Identitätsdiebstahl und gezielte Betrugsversuche bietet das gestohlene Material jedoch reichlich Angriffsfläche. Figure hat den Vorfall bestätigt und bietet betroffenen Nutzern nun kostenlose Kreditüberwachung an.
Globaler Ansturm auf Verbraucherdaten
Der Angriff auf Figure ist kein Einzelfall, sondern Teil einer alarmierenden Serie. Weltweit melden Unternehmen derzeit schwere Sicherheitsvorfälle:
- Odido: Der niederländische Telekom-Riese gab einen Angriff bekannt, der Daten von über sechs Millionen Kunden erbeutete – inklusive Bankverbindungen und Ausweisinformationen.
- Luxusmarken: Südkoreas Datenschutzbehörde verhängte Strafen von umgerechnet 25 Millionen Euro gegen Louis Vuitton, Dior und Tiffany. Grund waren unzureichende Sicherheitsvorkehrungen, die Angriffe auf über fünf Millionen Menschen ermöglichten.
- Adidas: Der Sportartikelhersteller untersucht derzeit Behauptungen von Cyberkriminellen über einen Leak bei einem Partnerunternehmen, der 815.000 Personen betreffen könnte.
Das wachsende Risiko durch Drittanbieter
Die jüngste Vorfälle zeigen ein vielschichtiges Bedrohungsbild. Angreifer nutzen nicht nur Social Engineering, sondern zielen zunehmend auf Schwachstellen bei Dienstleistern. Der Figure-Hack wird mit einer größeren Kampagne in Verbindung gebracht, die die Identity-Management-Plattform Okta ins Visier nahm. Ein solcher Angriff auf einen einzigen, weit verbreiteten Dienstleister kann wie ein Dominoeffekt Dutzende seiner Kundenunternehmen treffen.
Cybersicherheitsexperten fordern deshalb rigorose Sicherheitsaudits für alle externen Partner und die Einführung von „Zero-Trust“-Architekturen. Diese sollen den Schaden begrenzen, falls ein einzelner Zugangspunkt kompromittiert wird.
Folgen für Unternehmen und Verbraucher
Die Häufung der Vorfälle markiert eine neue Ära des Cyber-Risikos. Für Unternehmen geht es längst nicht mehr nur um kurzfristige Kosten. Der Imageschaden, regulatorische Bußgelder und der Vertrauensverlust bei Kunden wirken langfristig. Erste Sammelklagen, wie sie nach einem Datendiebstahl bei Panera Bread im Januar 2026 eingereicht wurden, zeigen das hohe rechtliche und finanzielle Risiko.
Angesichts rekordverdächtiger Schadenssummen durch Cyber-Attacken müssen Unternehmen ihre IT-Sicherheitsstrategie proaktiv verstärken. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihr Unternehmen mit effektiven Strategien und ohne Budget-Explosion gegen moderne Kriminelle wappnen. Kostenlosen Cyber-Security-Leitfaden jetzt sichern
Für Verbrachter werden die Risiken konkret und persönlich. Gestohlene Identitätsdaten sind der Rohstoff für Identitätsdiebstahl, Finanzbetrug und maßgeschneiderte Phishing-Angriffe. Zudem bleiben geleakte Daten über Jahre eine Gefahr, wie die erneute Zirkulation eines alten AT&T-Datensatzes beweist. Kriminelle kombinieren Informationen aus verschiedenen Quellen, um ihr Schadenspotenzial zu erhöhen.
Was jetzt nötig ist
Die jüngste Angriffswelle macht deutlich: Grundlegende Perimeter-Abwehr reicht nicht mehr aus. Organisationen müssen ihre Strategien anpassen. Dazu gehören kontinuierliche Schulungen der Mitarbeiter gegen Social Engineering, die flächendeckende Einführung multifaktorieller Authentifizierung und die Segmentierung von Netzwerken, um Angriffe einzudämmen.
Auch die Aufsichtsbehörden schauen genauer hin. Die hohen Strafen in Südkorea und Ermittlungen wie die des Generalstaatsanwalts von Texas nach einem weiteren Vorfall signalisieren weniger Toleranz für lasche Sicherheitspraktiken. Verbraucher sollten Wachsamkeit üben und angebotene Überwachungsdienste nutzen. Die Hauptverantwortung liegt jedoch bei den Unternehmen: Der Schutz sensibler Kundendaten muss oberste Priorität haben.
