Aura, ein in den USA ansässiges Identitätsschutzunternehmen, hat eine Datenpanne bestätigt, die etwa 900.000 Datensätze betrifft, hauptsächlich Kontaktdaten, die in einem Marketingsystem gespeichert sind.
Das Unternehmen erklärte, dass sich der Großteil der veröffentlichten Daten auf Namen und E-Mail-Adressen bezieht, die über eine Drittanbieter-Marketingplattform mit einem von 2021 übernommenen Unternehmen verknüpft ist. Laut der Aussage des Unternehmens hatte der Datenverstoß keine Auswirkungen auf die Kernsysteme, die sensiblere Kundeninformationen speichern.
Aura gab an, dass eine kleinere Teilmenge der Unterlagen zusätzliche persönliche Informationen enthielt. Diese Gruppe umfasste weniger als 20.000 aktive Kunden und weniger als 15.000 ehemalige Kunden. In diesen Fällen könnten offengelegte Daten Namen, E-Mail-Adressen, Telefonnummern und Wohnadressen enthalten haben. Das Unternehmen erklärte, dass auf Sozialversicherungsnummern, Passwörter und Finanzdaten nicht zugegriffen wurden.
Der Datenverstoß folgt auf Behauptungen eines Bedrohungsakteurs, der einen Datensatz mit mehr als 900.000 Aura-bezogenen Datensätzen anbietet. Eine externe Analyse der Daten zeigte, dass sie Kontaktdaten und weitere Informationen wie IP-Adressen und Kundenservice-Hinweise enthielten.
Sicherheitsforscher haben den Vorfall mit einer umfassenderen Kampagne in Verbindung gebracht, die auf Systeme abzielt, die mit Salesforce-Umgebungen verbunden sind. Berichte deuten darauf hin, dass Angreifer möglicherweise falsch konfigurierte Zugriffskontrollen in öffentlich zugänglichen Diensten ausgenutzt haben, um Daten ohne Authentifizierung abzurufen.
Aura erklärte, dass sie betroffene Personen dort benachrichtigt, wo es angemessen ist, und die Kunden anleitet. Das Unternehmen erklärte außerdem, dass es Maßnahmen ergriffen hat, um die betroffenen Systeme zu sichern und ähnliche Vorfälle zu verhindern.
Das Unternehmen bietet Identitätsüberwachung und Betrugsschutz an, einschließlich Werkzeuge, die darauf ausgelegt sind, Nutzer auf Datenexposition aufmerksam zu machen. Beamte erklärten, die Untersuchung des Vorfalls sei noch andauernd, wobei sich weitere Analysen darauf konzentrieren, das volle Ausmaß des Vorfalls und die beteiligten Systeme zu ermitteln.