Datenleck bei SHADOW S.A.S.: Millionen Kundendaten veröffentlicht

Ein Datenleck bei dem französischen Unternehmen Shadow S.A.S. hat am 12. Oktober 2023 die Kunden des Cloud-Gaming-Dienstes aufgeschreckt. Nach einem Bericht des Online-Magazins Golem.de wurden bei dem Angriff sensible Daten von 500.000 Kunden im Darknet veröffentlicht - darunter Namen, E-Mail-Adressen, Telefonnummern, Zahlungsinformationen und IP-Adressen. Die Daten sind nach wie vor im Darknet für jedermann zugänglich. Das Unternehmen Shadow S.A.S. hat laut Golem den Angriff bestätigt und die betroffenen Kunden über die Sicherheitslücke informiert. Die Verbraucherkanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Ihnen könnte ein Schaden entstanden sein. Die Kanzlei prüft die Betroffenheit und zeigt rechtliche Möglichkeiten auf. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

Datenleck bei Shadow erfasst 4,8 Millionen Daten

Die Zahl der durch den Cyberangriff beim Cloud-Gaming-Dienst Shadow ist enorm. Nach Angaben von vpnMentor sollen bei dem Angriff mindestens 4,8 Millionen einzelne Daten der 500.000 Kunden erbeutet worden sein. Die Daten stammen aus einem Zeitraum von mehreren Jahren und umfassen unter anderem folgende Informationen:

• Name, E-Mail-Adresse, Telefonnummer
• Zahlungsinformationen, darunter Kreditkartennummern und Bankkontodaten
• IP-Adresse
• Informationen über die genutzten Geräte und Software
• Spielverlaufsdaten

Ursache des Datenlecks bei Shadow soll Malware gewesen sein

Das Unternehmen Shadow hat den Angriff bestätigt und die betroffenen Kunden über die Sicherheitslücke informiert. Ein Team von Sicherheitsexperten untersucht den Vorfall. In einer Stellungnahme hat das Unternehmen erklärt, dass es sich um einen "schweren Sicherheitsvorfall" handelt. Shadow hat sich bei den betroffenen Kunden für die durch das Datenleck entstandenen Unannehmlichkeiten entschuldigt und ihnen angeboten, ihre Daten kostenlos zu löschen.

Der Shadow-CEO Eric Sèle behauptet in einer unter anderem auf Reddit veröffentlichten Mitteilung, der Vorfall habe sich Ende September nach einem erfolgreichen Social-Engineering-Angriff auf einen Mitarbeiter des Unternehmens ereignet. "Dieser hoch entwickelte Angriff begann auf der Discord-Plattform mit dem Herunterladen einer als Spiel getarnten Malware von der Steam-Plattform, das von einem Bekannten unseres Mitarbeiters vorgeschlagen wurde, der selbst Opfer desselben Angriffs war", erklärt Shadow weiter.

Identitätsdiebstahl durch Datenleck kann erhebliche Folgen haben

Das Datenleck könnte für die betroffenen Kunden erhebliche Folgen haben. Die Veröffentlichung von sensiblen Daten wie Kreditkartennummern und Bankkontodaten kann zu Identitätsdiebstahl und finanziellen Schäden führen. Auch die Veröffentlichung von IP-Adressen kann für die Betroffenen problematisch sein, da diese für Cyberangriffe genutzt werden können. Betroffene des Datenlecks sollten folgende Maßnahmen ergreifen, um sich zu schützen:

• Sie sollten ihre Kreditkartennummern und Bankkontodaten bei den entsprechenden Unternehmen sperren lassen.
• Sie sollten ihre Passwörter für alle Online-Konten ändern.
• Sie sollten einen Identitätsdiebstahlschutz beantragen.

Fazit der Kanzlei Dr. Stoll & Sauer: Das Datenleck bei Shadow ist für betroffene Verbraucher eine ernste Angelegenheit. Sensible personenbezogene Daten können erbeutet worden sein. Kriminelle können diese Daten für ihre Machenschaften nutzbar machen und beispielsweise Phishing-Attacken perfektionieren. Dieser Kontrollverlust über die eigenen Daten kann einen immateriellen Schaden darstellen. Hat die Shadow gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen. Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.

Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks und Datendiebstahls im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyberkriminellen gezielte Phishing-Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.

EuGH stärkt Rechte von betroffenen Verbrauchern

Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.

• Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.
• Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
• Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.

In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online-Check auch die Betroffenheit von den gängigsten Datenlecks ab.

Was tun, wenn Sie Opfer einer Phishing-Attacke geworden sind?

Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

1. Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden.
2. Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
3. Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.

1. Unbedingt Strafanzeige erstatten.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.