ShinyHunters-Hacker legen Daten von 50 Millionen Nutzern offen

Ein berüchtigtes Hackerkollektiv hat eine massive Datenwelle mit über 50 Millionen gestohlenen Nutzerkonten im Dark Web veröffentlicht. Die Angriffe auf SoundCloud, Betterment und Crunchbase offenbaren eine kritische Schwachstelle in der Identitätsverwaltung großer Unternehmen.

Dreifach-Angriff legt SSO-Sicherheit lahm

Die Gruppe ShinyHunters hat die gestohlenen Datensätze von drei großen Plattformen veröffentlicht. Den größten Teil machen rund 30 Millionen Nutzerdaten des Musikstreamers SoundCloud aus. Beim Finanzberater Betterment sind 20 Millionen persönliche Datensätze betroffen, beim Business-Intelligence-Anbieter Crunchbase etwa 2 Millionen interne Dokumente.

Die Angriffe haben einen gemeinsamen Ursprung: Die Hacker nutzten Voice-Phishing („Vishing“), um Mitarbeiter der betroffenen Firmen zu täuschen. Sie gaben sich am Telefon als IT-Support aus und erschlichen so Zugangsdaten und Bestätigungscodes für das Single-Sign-On-System von Okta. Über diese zentrale Identitätsverwaltung drangen sie dann in verbundene Unternehmensanwendungen ein.

Voice‑Phishing und gezielte Social‑Engineering-Angriffe (Vishing) machen SSO‑Konten besonders verwundbar — ein kompromittiertes Okta‑Konto kann binnen Minuten Zugriff auf Dutzende Unternehmensanwendungen ermöglichen. Ein kostenloses Anti‑Phishing‑Paket erläutert in einer praxisnahen 4‑Schritte‑Anleitung, wie Sie CEO‑Fraud, gefälschte Support‑Anrufe und psychologische Angriffs‑muster erkennen, Mitarbeitende schulen und technische Schutzmaßnahmen kombinieren. Enthalten sind Checklisten und konkrete Vorlagen für IT‑Teams. In 4 Schritten vor Phishing schützen

Menschliche Schwachstelle als Einfallstor

„Die Angreifer haben explizit die Verantwortung für diese Kampagne übernommen“, berichtet Alon Gal, CTO des Sicherheitsunternehmens Hudson Rock. Die Taktik ist simpel, aber wirkungsvoll: Gefälschte Anrufe, die Vertrauen erwecken sollen. Hat ein Mitarbeiter erst einmal seine Zugangsdaten preisgegeben, können die Hacker über das Okta-Dashboard auf Dutzende SaaS-Anwendungen zugreifen – von Salesforce bis Google Workspace.

Okta selbst warnt seine Kunden bereits vor der Zunahme solcher Social-Engineering-Angriffe. Doch die erfolgreiche Kampagne zeigt das grundlegende Problem: Technische Sicherheitsvorkehrungen wie die Zwei-Faktor-Authentifizierung (2FA) bieten keinen ausreichenden Schutz, wenn Mitarbeiter manipuliert werden können.

Gestohlene Daten fluten Dark Web

Die Veröffentlichung der Daten am 22. und 23. Januar folgte auf gescheiterte Erpressungsversuche. ShinyHunters operiert nach dem „Bezahlen oder Veröffentlichen“-Prinzip, ähnlich wie Ransomware-Banden, verzichtet aber auf die Verschlüsselung von Dateien. Stattdessen konzentrieren sie sich auf den reinen Datendiebstahl.

Die gestohlenen Betterment-Daten sind besonders brisant. Sie enthalten Namen, Adressen, Telefonnummern und Geburtsdaten – ideale Grundlagen für gezielten Betrug. Bereits Anfang Januar hatten Kunden des Finanzdienstleisters betrügerische E-Mails mit Krypto-Angeboten erhalten, die auf den gestohlenen Kontaktlisten basierten.

Bei Crunchbase stellen die geleakten Verträge und internen Dokumente eine andere Art von Risiko dar. Geschäftsbeziehungen und finanzielle Details könnten so öffentlich werden. Die Angreifer deuten an, noch mehr Material in der Hinterhand zu haben.

Branche fordert härtere Authentifizierung

Die Vorfälle lösen in der Cybersicherheitsbranche scharfe Reaktionen aus. Experten fordern strengere Identitätsprüfungen. Herkömmliche Zwei-Faktor-Authentifizierung reiche nicht mehr aus, wenn entschlossene Angreifer diese Hürden durch Social Engineering umgehen können.

Sicherheitsexperten drängen auf phishing-resistente Authentifizierungsmethoden wie FIDO2-Hardware-Keys oder Passkeys. Diese können selbst dann nicht kompromittiert werden, wenn ein Mitarbeiter sein Passwort preisgibt. Der Angriff unterstreicht auch die Gefahr der „verketteten“ Vertrauensstellung: Ein einziges kompromittiertes SSO-Konto kann Zugang zu Dutzenden nachgelagerten Anwendungen gewähren.

Betroffene Nutzer sollten besonders wachsam bei unerwünschten Kommunikationsversuchen sein – vor allem bei Anrufen oder E-Mails, die vorgeben, von Support-Teams zu stammen. Der ShinyHunters-Leak ist eine deutliche Erinnerung daran, dass Identität im modernen Bedrohungsumfeld zur neuen Sicherheitsgrenze geworden ist – und diese Grenze derzeit unter Beschuss steht.

PS: Viele Unternehmen unterschätzen die psychologischen Tricks hinter Vishing und CEO‑Fraud — doch genau hier setzen die meisten nachhaltigen Verteidigungsmaßnahmen an. Das kostenlose Anti‑Phishing‑Paket zeigt anhand von realen Beispielen, wie Mitarbeiterschulungen, organisatorische Abläufe und technische Kontrollen zusammenwirken müssen, um Wiederholungstäter zu stoppen. Geeignet für IT‑Leiter und Sicherheitsverantwortliche, die sofort umsetzbare Maßnahmen suchen. Anti‑Phishing‑Paket jetzt kostenlos anfordern