Western Digital kommt klar über massive Sicherheitsverletzungen

Der beliebte Hersteller von PC-Speichern, Western Digital, hat bestätigt, dass er Anfang dieses Jahres eine Netzwerksicherheitsverletzung erlebt hat, bei der ein unbefugter Dritter die Kontrolle über mehrere seiner Systeme erlangte.

Der Vorfall ereignete sich am 26. März 2023, wurde aber sofort vom Hersteller behoben, wobei Western Digital den Verstoß meldete und Top-Sicherheitsexperten hinzuzog, um eine Untersuchung einzuleiten, die derzeit läuft, sagte das Unternehmen in einer Erklärung .

Die für den Verstoß verantwortlichen Angreifer konnten sich Zugang zu einer Kopie einer Datenbank verschaffen, die zum Betrieb des Western Digital Online-Shops verwendet wurde. Zu den Informationen aus dieser Datenbank gehören „persönliche Kundeninformationen wie Namen, Rechnungs- und Lieferadressen, E-Mail-Adressen und Telefonnummern“ sowie „verschlüsselte gehashte und gesalzene Passwörter und teilweise Kreditkartennummern“, stellte das Unternehmen fest.

In Zusammenarbeit mit externen forensischen Experten soll die Untersuchung die Kürze des Verstoßes bestimmen, und Western Digital sagte, es plane, Kunden, deren Daten kompromittiert wurden, direkt zu kontaktieren.

Das Unternehmen warnt Kunden auch davor, digitale Signaturtechnologie zu verwenden, die betrügerisch sein könnte, und stellt fest, dass es „die Kontrolle über seine Infrastruktur für digitale Zertifikate“ hat und „in der Lage ist, Zertifikate nach Bedarf zu widerrufen“. Western Digital erinnert seine Benutzer auch daran, beim Herunterladen von Anwendungen aus inoffiziellen Quellen im Internet vorsichtig zu sein.

Die Marke sagte, dass ihre Systeme und Dienste seit dem ersten Verstoß wiederhergestellt sind und die Produktlieferungen nicht gemäß der Kundennachfrage beeinträchtigt wurden. Zu den Diensten, die heruntergefahren wurden, gehört My Cloud, das am 13. April 2023 wiederhergestellt wurde. Western Digital-Onlineshop-Konten sollen in der Woche vom 15. Mai 2023 wiederhergestellt werden.

Western Digital weist auch darauf hin, dass die zukunftsgerichteten Aussagen angesichts der laufenden Untersuchung nicht konkret sind und dass Updates, die in der Zukunft erscheinen könnten, andere Details enthalten könnten als das, was das Unternehmen jetzt sagt.

Dennoch war Western Digital viel offener in Bezug auf seinen Verstoß als viele andere Unternehmen traditionell. Im Oktober 2022 erlitten Microsoft-Server einen Verstoß , von dem möglicherweise über 65.000 Unternehmen in 111 Ländern betroffen waren, und das Unternehmen lehnte eine Stellungnahme ab. Im August 2022 erlitt das im asiatisch-pazifischen Raum bekannte Android-basierte Zahlungssystem Wiseasy einen Malware-Hack . Berichten zufolge gab es damals keine Informationen darüber, ob Wiseasy Pläne hatte, seine Kunden direkt über den Hack zu informieren.