Cyberkriminelle stehlen 50.000 Kundendatensätze der Digitalbank Revolut

Cyberkriminelle haben kürzlich bei einem Hack Kundendaten der Neobank Revolut erbeutet. Wie das Unternehmen jetzt mitteilt, ist zwar nur ein kleiner Teil der Kunden betroffen, diese sollten in nächster Zeit allerdings besonders wachsam sein, da die Angreifer versuchen könnten, die Datensätze zu vervollständigen und so tatsächliche monetäre Schäden anzurichten.  

Persönliche Daten von insgesamt rund 50.000 Kunden (davon rund 20.700 aus dem EU-Raum) haben Hacker bei Revolut erbeutet. Der Angriff erfolgte am Wochenende des 10. September. Eingeschaltet wurde die litauische Datenschutzbehörde, die in diesem Fall aufgrund des Sitzes und der Banklizenz innerhalb der EU zuständig ist. Nach Angaben der Bank handelt es sich um 0,16 Prozent der Kunden des Unternehmens, wobei unterschiedliche Quellen widersprüchliche Daten zur genauen Zahl der Betroffenen machen.

Erbeutet wurden dabei die kompletten Namen, die E-Mail-Adresse sowie die Anschrift und hinterlegte Telefonnummern. Außerdem habe man einen Teil der Daten der Bezahlkarten (“Limited Payment Card Data”) und weitere Kontodaten stehlen können. Die Kartendaten, PINs oder Passwörter seien nicht betroffen gewesen.

Immerhin hatten und haben die Hacker offenbar keinen Zugriff auf die Konten selbst, wie Revolut erklärt.

Es wurde weder auf Gelder zugegriffen noch wurden sie gestohlen. Ihr Geld ist sicher, wie immer. Sie können Ihre Karte und Ihr Konto ganz normal nutzen.”

Mitteilung von Revolut

Bereits erste Phishing-Versuche gegen Revolut-Kunden

In einer E-Mail an die betroffenen Kunden erklärt Revolut, man sei Opfer des Angriffs geworden, habe den Angriff aber umgehend erkannt und isoliert. Es sei nicht erforderlich für die Kunden, Maßnahmen zu ergreifen oder bestimmte Zugangsdaten zu verändern. „Obwohl Cyberangriffe eine regelmäßige Bedrohung für viele Unternehmen darstellen, haben wir sofortige Maßnahmen ergriffen, um diesen Vorfall angemessen zu behandeln und unsere Kunden zu schützen“, erklärt das Unternehmen.

Revolut kann allerdings nicht ausschließen, dass die Täter versuchen, mit den erbeuteten Daten via Phishing Schäden zu verursachen. Erste Phishing-Mails sind diesbezüglich in den letzten Tagen bereits aufgetaucht. Man solle somit auf verdächtige Aktivitäten achten und nicht auf entsprechende Mails reagieren, ohne diese über das Kommunikationsmodul innerhalb der App zu verifizieren: „Revolut wird Sie bezüglich dieses Vorfalls weder anrufen noch eine SMS schicken. Seien Sie bei jedem Versuch, Sie zu kontaktieren, äußerst vorsichtig. Wir werden Sie niemals nach Ihren Daten oder Passwörtern fragen.“

Der Vorfall ist ärgerlich und rufschädigend, gerade für eine Neobank, doch er kann prinzipiell jedem Institut passieren. Zudem werden sicherlich entsprechende Anwaltskanzleien und Legaltech-Startups versuchen, die Interessen der Kunden zu vertreten und (ähnlich wie im vergleichbaren Scalable-Capital-Fall) prüfen, ob hier Schadenersatzforderungen möglich sind. Allerdings sind hier offenbar weniger Daten und insbesondere nicht die Ausweisdaten betroffen.tw