In einem Hackerforum wird der Datensatz von Kunden des Herstellers Halara schon seit dem 7. Januar 2024 zum Download angeboten, wie unterschiedliche Medien berichten.

Ein unter dem Pseudonym Sanggiero auftretender Angreifer behauptet in einem Beitrag des Hackerforums, die angebotene Datenbank umfasse mehr als eine Million Datenzeilen mit Vornamen, Nachnamen, Rufnummern, Ländern, Wohnadressen, Postleitzahlen, Provinzen und Wohnorten von Halara-Kunden.

Laut dem Online-Magazin Bleeping Computer werden die Daten als Textdatei angeboten.

Entgegen der Behauptung von Sanggiero seien darin dem Bleeping-Bericht zufolge nur 941.910 Datensätze enthalten.

Stichprobenartige Prüfungen hätten ergeben, dass es sich tatsächlich um Daten von Halara-Kunden handle. Allerdings sei noch unklar, ob dies ausnahmslos auf alle enthaltenen Informationen der Datenbank zutreffe.

Der Hacker Sanggiero habe auf Nachfrage des Magazins erklärt, dass aufgrund eines Fehlers in der API der Halara-Webseite das Abgreifen der Daten erst möglich geworden sei. Details zu der Sicherheitslücke wurden nicht genannt. Es gebe Hinweise, dass die Lücke noch immer nicht geschlossen worden sei.

Auch interessant: Für den Hacker haben die erbeuteten Daten keinen großen Wert. Er habe sich daher entschieden, sie kostenlos zu veröffentlichen.

Halara erklärte gegenüber Bleeping Computer, das Unternehmen sei sich des Daten-Vorfalls bewusst. Untersuchungen seien derzeit am Laufen.

Das Unternehmen erlangte seit seiner Gründung im Jahr 2020 vor allem durch Social-Media-Präsenz Bekanntheit und behauptet, auf Plattformen wie TikTok und YouTube hohe Zugriffszahlen erreicht zu haben.

Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Kunden von Halara Auskunft darüber verlangen, ob sie vom Angriff betroffen sind.

Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.

82 DSGVO möglicht Schadensersatzansprüche, falls Halara unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.

Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden von Halara, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

