Hacker erbeuten 3,6 Millionen Sozialversicherungsnummern

Die Finanzbehörde des US-Bundesstaats South Carolina hat den Hackerangriff inzwischen eingeräumt. Betroffen ist einer Pressemitteilung zufolge jeder, der seit 1998 eine Steuerrückerstattung beantragt hat. Dazu gehören auch Personen, die seitdem in einen anderen Bundesstaat gezogen sind. “Wir haben unverzüglich Maßnahmen ergriffen, um die Steuerzahler in South Carolina zu schützen”, sagte Gouverneur Nikki Haley. Unter anderem steht Betroffenen über einen Zeitraum von einem Jahr eine Kreditüberwachung zur Verfügung.

Sozialversicherungsnummern werden in den USA erst seit 1976 benutzt, um Steuerzahler zu identifizieren. Da sie auch zur Authentifizierung eingesetzt werden, kann ein Verlust zu Identitätsdiebstahl führen. Arbeitgeber, Universitäten und auch einige Bundesstaaten setzen deswegen inzwischen Alternativen ein.

Laut eines Untersuchungsberichts (PDF) hat das Department of Revenue am 10. Oktober von dem Einbruch erfahren. USA Today vermutet, dass die Behörde den Angriff nicht selbst entdeckt hat, sondern erst durch einen Erpressungsversuch auf den Verlust aufmerksam wurde. Am gleichen Tag wurden auch die Strafverfolgungsbehörden informiert.

Am 12. Oktober nahm ein externer Berater seine Arbeit auf. Er stellte fest, dass der eigentliche Einbruch Anfang bis Mitte September stattfand. Die dafür benutzte Sicherheitslücke sei acht Tage später, also am 20. Oktober, geschlossen worden. Die entwendeten Dateien enthielten zudem 387.000 Kreditkartennummern. Davon waren 16.000 offenbar unverschlüsselt.

[mit Material von Stefan Beiersmann, ZDNet.de]