Die Person, die behauptet, die physischen Adressen von 49 Millionen Dell-Kunden gestohlen zu haben, scheint mehr Daten aus einem anderen Dell-Portal entnommen zu haben, hat TechCrunch erfahren.

Die neu kompromittierten Daten enthalten Namen, Telefonnummern und E-Mail-Adressen von Dell-Kunden. Diese persönlichen Daten sind in Kundendienstberichten enthalten, die auch Informationen über Ersatz-Hardware und -Teile, Kommentare von Vor-Ort-Ingenieuren, Dispositionsnummern und in einigen Fällen Diagnoseprotokolle enthalten, die vom Computer des Kunden hochgeladen wurden.

Mehrere von TechCrunch gesehene Berichte enthalten Bilder, die anscheinend von Kunden aufgenommen und an Dell gesendet wurden, um technische Unterstützung zu erhalten. Einige dieser Bilder enthalten Metadaten, die die genauen GPS-Koordinaten des Ortes zeigen, an dem der Kunde die Fotos aufgenommen hat, wie eine Stichprobe der von TechCrunch erhaltenen gescannten Daten zeigt.

TechCrunch hat bestätigt, dass die persönlichen Informationen der Kunden echt sind.

Dies ist die zweite Offenlegung von exponierten Dell-Kundendaten in zwei Wochen. Letzte Woche benachrichtigte Dell Kunden darüber informiert, dass es zu einem Datenleck gekommen sei, und erklärte in einer E-Mail, dass der Technologieriese "ein Vorkommnis untersucht, das ein Dell-Portal betrifft, das eine Datenbank mit begrenzten Arten von Kundendaten im Zusammenhang mit Käufen von Dell enthält ".

Die gestohlenen Daten enthielten Kundennamen und Adressen sowie weniger sensible Daten wie "Dell-Hardware und Bestellinformationen, einschließlich Service-Tag, Artikelbeschreibung, Bestelldatum und zugehörige Garantieinformationen".

Dell spielte das Datenleck herunter und erklärte, dass das Auslaufen von Kundendaten nicht "ein signifikantes Risiko für unsere Kunden" darstelle und dass die gestohlenen Informationen keine "hochsensiblen Kundendaten" wie E-Mail-Adressen und Telefonnummern enthielten.

Eine Person, die unter dem Online-Namen Menelik verantwortlich gemacht wurde für beide Datenlecks. In einem Interview mit TechCrunch legte Menelik eine Stichprobe der von ihm gestohlenen Daten vor, was es TechCrunch ermöglichte zu überprüfen, dass die Daten legitim waren. Menelik stellte auch Kopien der E-Mails zur Verfügung, die er an Dell gesendet hatte, und das Unternehmen bestätigte gegenüber TechCrunch, dass es eine E-Mail über das Datenleck von Menelik erhalten hatte.

Jetzt scheint es, als ob Menelik einen weiteren Fehler in einem anderen Dell-Portal gefunden hätte, der es ihm ermöglichte, mehr Kundendaten abzurufen.

„Ich habe etwas für E-Mail- und Telefonnummerdaten gefunden“, sagte Menelik zu TechCrunch. „Aber ich werde noch nichts damit machen. Ich möchte sehen, wie Dell auf das aktuelle Thema reagiert. [sic]“

Einen Tag nach Veröffentlichung dieses Artikels sagte ein nicht näher genannter Dell-Sprecher gegenüber TechCrunch, dass das Unternehmen über die Berichte informiert ist und ermittelt.

Menelik sagte, dass er die Daten von rund 30.000 US-Kunden abgerufen habe und dass die Fehler, die er ausnutzt, ähnlich den Fehlern seien, die es ihm ermöglichten, die erste Runde von 49 Millionen Kundenaufzeichnungen zu erhalten. Aber diese zweite Schwachstelle hindert ihn daran, die Daten so schnell zu sammeln wie bei der ersten Verletzung.

Wie TechCrunch zuerst berichtete, sagte Menelik, dass er bei der ersten Verletzung in der Lage war, Daten von Dell-Kunden aus einem Portal abzurufen, in dem er mehrere Konten als „Partner“ registrierte, was bedeutet, dass er vorgab, Unternehmen zu betreiben, die Dell-Produkte oder -Dienstleistungen weiterverkaufen. Sobald Dell seine Anfragen genehmigte, sagte Menelik, dass er Kundendienstetiketten mit brutaler Gewalt erzwingen konnte, die aus sieben Ziffern nur aus Zahlen und Konsonanten bestehen.

Menelik veröffentlichte eine Anzeige auf einem bekannten Hacking-Forum, in der er versuchte, die Daten zu verkaufen. Zum Zeitpunkt der Erstellung dieses Artikels wurde das Inserat gelöscht, und Menelik sagte, dass dies daran lag, dass er die Daten verkauft habe, obwohl er sich weigerte zu sagen, für wie viel.

Auf die Frage, was er mit den neuen Daten vorhat, sagte Menelik, dass er sich noch nicht entschieden habe.

Da einige der abgerufenen Daten persönliche Informationen von Kunden in der Europäischen Union enthalten, hat TechCrunch die nationale Datenschutzbehörde Irlands kontaktiert, die nicht sofort auf eine Anfrage nach Kommentar reagiert hat.

UPDATE, Mittwoch, 15. Mai, 14:45 Uhr ET: Diese Geschichte wurde aktualisiert, um den Kommentar von Dell einzubeziehen.

Kontaktiere uns

Kennen Sie mehr über diesen Dell-Hack? Oder ähnliche Datenverstöße? Von einem nicht dienstlichen Gerät aus können Sie sich sicher an Lorenzo Franceschi-Bicchierai auf Signal unter +1 917 257 1382 wenden oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail. Sie können sich auch über SecureDrop an TechCrunch wenden.