Bank Of America gibt Datenpanne zu, Anbieter gehackt

Die Bank of America Corporation (BofA), die zweitgrößte Bankinstitution in den USA, warnt Kunden vor einer möglichen Datenpanne, die sensible persönliche Informationen von Kunden, die an einem aufgeschobenen Vergütungsplan teilnehmen, offengelegt haben könnte.

Die von BofA beim Generalstaatsanwalt von Texas eingereichte Mitteilung über die Datenpanne zeigt, dass die im Sicherheitsvorfall offengelegten personenbezogenen Daten (PII) der Kunden Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten und finanzielle Informationen, einschließlich Konten- und Kreditkartennummern, umfassen.

Offenbar fand die Datenpanne am 3. November 2023 bei Infosys McCamish Systems LLC („Infosys“ oder „IMS“) statt, dem Anbieter von Bank of America.

In einer aktuellen Einreichung beim Generalstaatsanwalt von Maine gab IMS bekannt, dass 57.028 Kunden von dem Vorfall betroffen waren. Während des Cyberangriffs konnte eine unbefugte Partei Teile des Computer Netzwerks von IMS zugreifen.

Nachdem IMS von der Cybersecurity-Panne erfahren hatte, führte es mit Hilfe von Drittanbieter-Forensik-Spezialisten eine Untersuchung durch. Am 24. November 2023 informierte es die Bank of America, dass Daten zu bestimmten aufgeschobenen Vergütungsplänen, die von der Bank verwaltet werden, betroffen sein könnten. Zu keinem Zeitpunkt wurde jedoch das interne Netzwerk von Bank of America während des Vorfalls kompromittiert.

Am 1. Februar 2024 verschickte Infosys Datenpannenbriefe an alle, die von dem kürzlichen Vorfall betroffen waren, und listete auf, welche Informationen von ihnen kompromittiert wurden.

Ähnlich verschickte auch die Bank of America am 6. Februar 2024 Datenpannenbriefe an betroffene Verbraucher und informierte sie über die Sicherheitsverletzung.

Trotz der Behauptung, von einem Missbrauch von Kundeninformationen nichts gewusst zu haben, bietet die Bank of America den betroffenen Kunden eine kostenlose zweijährige Mitgliedschaft im Identitätsdiebstahlschutzprogramm von Experian an, das Kreditüberwachung, Identitätsdiebstahlversicherung und Betrugsauflösungsdienste umfasst, um den Vorfall auszugleichen.

Darüber hinaus wird den Kunden geraten, ihre Online-Passwörter und PINs zu ändern, ihre Konten auf verdächtige Aktivitäten zu überwachen, unbefugte Transaktionen sofort zu melden und auch eine Sicherheitsüberprüfung oder Betrugswarnung in ihren Kreditberichten zu veranlassen.

Bank of America gegen LockBit

Am 4. November 2023 beanspruchte die Ransomware-Gang LockBit angeblich die Verantwortung für den IMS-Angriff und behauptete, dass ihre Betreiber während des Vorfalls über 2.000 Systeme verschlüsselt hätten.

Der LockBit-Ransomware-as-a-Service (RaaS)-Betrieb kam im September 2019 ans Licht und hat seitdem zahlreiche renommierte Institutionen angegriffen, darunter die britische Royal Mail, die italienische Steuerbehörde, das große Continental-Autounternehmen und die Stadt Oakland.