Auskunftei Dun & Bradstreet verliert Millionen vertraulicher Firmendaten

Die US-Wirtschaftsauskunftei Dun & Bradstreet, die in Deutschland von der 2013 aus dem Zusammenschluss von Hoppenstedt und Dun & Bradstreet entstandenen Firma Bisnode vertreten wird, hat offenbar unfreiwillig und völlig kostenlos Unbekannten eine ausgesprochen umfangreiche Auskunft gegeben: Ihr ist eine 52 GByte große Datenbank mit rund 33,7 Millionen Kontaktdaten von Mitarbeitern in Firmen entwendet worden. Wie ZDNet.com berichtet, hat Dun & Bradstreet habe die Echtheit der Daten inzwischen bestätigt.

Wie Troy Hunt, Betreiber der Site Have I Been Pwned, dem die Datenbank offenbar zugespielt wurde, berichtet, enthält die Datenbank detaillierte Angaben zu Mitarbeitern großer Firmen und Behörden, darunter über 100.000 Personen, die im dem US-Verteidigungsministerium arbeiten, 88.000 Beschäftigen der US-Post, 35.00 der Citigroup und 33.000 von IBM. Aber auch von Boeing, Dell, FedEx, und Xerox sind jeweils mehrere zehntausende Mitarbeiter darin verzeichnet.

Zu ihnen in sind jeweils Name, Vorname, E-Mail-Adresse, gegeben falls Telefondurchwahl, Position, Firmenadresse, Tätigkeitsfeld, Mitarbeiteranzahl und Umsatzgröße angegeben. Außerdem enthält sie die D-U-N-S-Nummer, die für die eindeutige Identifikation einer Firma erforderlich ist und ohne die in den USA keine Geschäfte mit Behörden möglich sind. Damit stellt die Datenbank eine wertvolle Quelle für diverse kriminelle Aktivitäten dar und können die in ihr enthaltenen Informationen für Social Engineering oder im Zusammenhang mit einem sogenannten CEO-Fraud verwendet werden.

Der eigentliche Bestimmungszeck der Daten ist das zielgerichtete Marketing im B2B-Umfeld. Dazu können Firmen Zugriffsrechte auf bestimmte Teile der Datenbank erwerben. Laut ZDNet.com-Reporter Zack Whittaker kostete einer Preisliste von 2015 zufolge damals der Zugriff auf 500.000 Datensätze für Marketingzwecke Firmen bis zu 200.000 Dollar. Damit wäre die gesamte Datenbank also bis zu 13,48 Millionen Dollar wert.

Wie Hunt mitteilt, stammen die entwendeten Daten allerdings ausschließlich aus den USA. Es handelt sich offenbar um eine Datenbank, die Dun & Bradstreet 2015 zusammen mit der übernommenen Firma NetProspex übernommen hat. Er räumt zwar ein, dass in der Datenbank viele ohnehin öffentlich bekannte Daten lediglich zusammengeführt sind, weist aber auch darauf hin, dass die Tatsache, dass sie so umfassend zusammengestellt und leicht durchsuchbar sind, von enormen Wert ist. “Es erinnert uns auch wieder einmal daran, dass wir die Kontrolle über unsere Privatsphäre verloren, hat doch sicher der weitaus größte Teil der in der Datenbank verzeichneten Personen nicht die geringste Ahnung davon, dass ihre Daten in einer derartigen Form verkauft werden und sie haben schon gleich gar keine Kontrolle darüber.”

Nicht bekannt ist bislang, wie die Daten abhandengekommen sind oder wer für die Veröffentlichung verantwortlich ist. Ein Sprecher von Dun & Bradshaw wollte dazu gegenüber ZDNet.com keine Auskunft geben. Man habe die Informationen sorgfältig geprüft und es handele sich dabei um einen Typ und ein Format, wie man es Kunden jeden Tag zur Verfügung stelle. Einer internen Untersuchung zufolge sei darauf weder von einem internen Systeme aus zugegriffen noch durch ein solches an die Öffentlichkeit gelangt. Der Sprecher bestätigte, dass die Daten ungefähr sechs Monate alt sind, spielt die Bedeutung aber herunter, indem er darauf hinweist, dass sie an „tausende“ von Firmen weiterverkauft worden seien.