Qantas: 5,7 Millionen Datensätze durch einen einfachen Anruf beim technischen Support gestohlen

Cybersicherheit 13 h ago0Zu Lesezeichen hinzufügen

Qantas: 5,7 Millionen Datensätze durch einen einfachen Anruf beim technischen Support gestohlen
Illustration : Momiji Shirogane

Keine Exploits, keine 0-Tage: Der massive Datenklau bei Qantas begann mit einem Anruf beim externen Callcenter. Anatomie einer klassischen "Vishing"-Kompromittierung und warum dies 2026 immer noch die schwächste Stelle ist.

Fakten

Die australische Fluggesellschaft Qantas hat bestätigt (über ihre Nachuntersuchung nach dem Vorfall und wie von The Register am 16. Juli 2026 berichtet), dass der Datenleak, der Anfang 2026 5,7 Millionen Personen betraf, von einem technischen Support-Betrug ausging, der ein für sie betriebenes Callcenter ins Visier nahm.

Die freigelegten Daten: PII (Personally Identifiable Information) - Namen, E-Mails, Telefonnummern, Geburtsdaten, Treueprogramm-Status. Keine Zahlungsdaten oder Passwörter laut Qantas, was das Risiko eines direkten betrügerischen Gebrauchs begrenzt (aber nicht ausschließt).

Ein spitzer Punkt, der von The Register festgestellt wurde: Qantas behauptet, dass der Leak nicht gegen das australische Datenschutzgesetz verstoßen hat, wobei die rechtliche Verantwortung beim Dienstleister liegt. Eine Interpretation, die die 5,7 Millionen betroffenen Personen kaum zufriedenstellen wird.

Analyse

Dies ist ein Lehrbeispiel für die aktive Kampagne von Scattered Spider / UNC3944 (oder verwandten Gruppen), die seit 2024 die Luftfahrt- und Hotelbranche trifft. Die Vorgehensweise ist stabil:

  1. Soziale Aufklärung: Identifizierung des externen Support-Dienstleisters (oft in Indien oder den Philippinen für englischsprachige Großkonzerne).
  2. Vishing (Voice Phishing): Anruf unter dem Vorwand eines internen Vorfalls, eines Benutzers in Not oder einer Qualitätsprüfung - genug Dreistigkeit, um die Wachsamkeit eines Mitarbeiters zu senken.
  3. Direkte Extraktion über das Support-Tool: Der Mitarbeiter, der glaubt, einem Kollegen zu helfen, startet eine Benutzeranfrage und liest/exportiert die Daten.
  4. Stille Exfiltration: Keine SIEM-Warnung, alles läuft über "legitime" Aktionen des Mitarbeiters.

Es ist effektiv, weil es keine technischen Kontrollen umgeht. Der KPI für Kundenbindung eines externen Callcenters ist unvereinbar mit dem KPI für die Strenge einer Identitätsprüfung - beide kämpfen gegeneinander, der Angreifer gewinnt.

Nächste Schritte

Wenn Sie der RSSI eines Unternehmens sind, das First-Level-Support auslagert:

  • Zugriff auf Daten kartieren jedes externen Mitarbeiters. Was der Mitarbeiter "sehen muss" ≠ was der Mitarbeiter "sehen kann". Auf ein striktes Minimum reduzieren durch least-privilege-Anwendung.
  • Pflicht-Rückruf bei jeder "dringenden" Support-Anfrage von innen: Rückruf über das offizielle Verzeichnis, niemals über die Nummer, die vom Anrufer bereitgestellt wird.
  • Protokollierung + Überprüfung von Massenexporten und ungewöhnlichen Zugriffen durch Support-Mitarbeiter (Anomalie-Erkennung bei Volumen/Zeit/benutzerziel).
  • Gezielte Sensibilisierung der externen Mitarbeiter für Vishing/Social-Engineering-Szenarien, mit vierteljährlichen Übungen.
  • Vertragsklausel mit dem Dienstleister, die dieselben MFA/Überwachungsstandards wie für interne Mitarbeiter vorschreibt.

Für den betroffenen Qantas-Endnutzer: Überwachung von personalisierten Phishing-Versuchen ("Hallo Herr X, Ihr Frequent Flyer-Programm zeigt...") - genau das, was die 5,7 Millionen gestohlenen Akten in den kommenden Monaten füttern werden.

Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.

Unsere Redaktion
War dieser Artikel hilfreich?

16 Personen gefiel dieser Artikel

Gefällt mir
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
Teilen:
Kommentare (0)

Melden Sie sich an, um an der Diskussion teilzunehmen.

Soyez le premier à commenter.

LIVERadio DBN Link
Tippen zum Hören – für alle derselbe Sound
0··
// Programm
// all stations
// Track teilen →
Themen
Erkunden
Informationen