Eine gemeinnützige Organisation in Brasilien, die jungen Menschen bei der Suche nach Praktika hilft, hat eine große Datenschutzverletzung erlitten, bei der Angreifer behaupteten, auf rund 546 Gigabyte an privaten Daten zugegriffen zu haben. Die Organisation mit dem Namen Gerar verbindet Arbeitssuchende mit Unternehmen und Bildungseinrichtungen. Die Sicherheitsverletzung wurde bekannt, als in einem Datenleck-Forum ein Beitrag erschien, der Beispieldateien von jungen Bewerbern zeigte, die mehrere Jahre alt waren.
Das freiliegende Material ist hochsensibel. Laut Forschern, die den Beispieldatensatz analysierten, enthält das Leck gescannte Kopien von medizinischen Untersuchungsberichten, Personalausweisen, Verträgen zwischen Gerar und Praktikanten, Verträgen zwischen Schulen und Ausbildungsprogrammen und sogar gescannten Dokumenten im Zusammenhang mit dem Militärdienst für einige junge Bewerber.
In der Beispieldatei fanden die Forscher Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Steueridentifikationsnummern, Straßenadressen, Daten zum Familieneinkommen, Angaben zum Bildungshintergrund und andere persönliche Informationen. Allein diese Daten stellen ein erhebliches Risiko für Identitätsdiebstahl und Betrug dar.
Da es sich bei vielen der Betroffenen um junge Erwachsene handelt, die gerade erst in den Arbeitsmarkt eintreten, ist das langfristige Risiko besonders hoch. Da so viele persönliche Daten offengelegt werden, könnten böswillige Akteure über Jahre hinweg Konten eröffnen, Kredite beantragen oder sich als Opfer ausgeben. Forscher warnen davor, dass eine Kompromittierung der Identität einer Person zu Beginn ihrer Karriere einen dauerhaften Einfluss auf ihre Kredithistorie und ihre Beschäftigungsmöglichkeiten haben kann.
Gerar bietet Schulungen, Praktika und Matching-Services für junge Brasilianer an, die in die Arbeitswelt einsteigen. Dabei erhebt sie große Mengen an personenbezogenen Daten sowohl von den Bewerbern als auch von den Bildungs- oder Arbeitgeberpartnern. Diese Menge an sensiblen Daten, kombiniert mit weniger Schutzmaßnahmen, die für jugendorientierte oder gemeinnützige Programme typisch sind, macht eine solche Organisation zu einem attraktiven Ziel.
Durch die Kompromittierung der Datenbank einer gemeinnützigen Organisation wie Gerar erhalten Angreifer nicht nur Zugriff auf personenbezogene Rohdaten, sondern auch auf Vertragsdokumente, Materialien zur Identitätsprüfung und Bildungsnachweise. All dies kann für Sekundärangriffe wie Phishing, die Erstellung gefälschter Anmeldeinformationen oder Unternehmensidentität verwendet werden.
Wie gemeinnützige Organisationen den Datenschutz stärken können
Die Gerar-Sicherheitsverletzung zeigt, dass selbst Unternehmen mit guten Absichten zu Fehlerquellen im größeren Datenschutz-Ökosystem werden können. Jede gemeinnützige Organisation, die personenbezogene Daten sammelt, muss Cybersicherheit genauso ernst nehmen wie größere private Unternehmen.
Das bedeutet, die Menge der gesammelten Daten zu begrenzen, sie im Speicher zu verschlüsseln und zu überprüfen, wer Zugriff darauf hat. Regelmäßige Software-Updates, Penetrationstests und Mitarbeiterschulungen können ebenfalls viele Sicherheitsverletzungen verhindern, bevor sie auftreten. Ebenso wichtig ist eine transparente Kommunikation nach einem Vorfall. Betroffene sollen schnell informiert und mit praktischen Ratschlägen versorgt werden, um sich zu schützen.