Datenleck bei MSG: 26 Millionen Datensätze nach Vishing-Angriff

Die Tätergruppe ShinyHunters bekannte sich zu dem Angriff, der am 5. Juni 2026 stattfand. Nachdem die Erpressung scheiterte, veröffentlichten die Angreifer die gestohlenen Informationen im Netz.

Die gestohlenen Daten wurden am 24. Juni 2026 in die Datenbank Have I Been Pwned aufgenommen. Betroffen sind nicht nur Kontaktdaten, sondern auch hochsensible persönliche Informationen, Arbeitsverhältnisse und Kundendaten.

Vishing-Attacke überlistete Sicherheitssysteme

Die Angreifer verschafften sich Zugang zu den Systemen des Unternehmens durch eine sogenannte Vishing-Kampagne – also eine betrügerische Telefonattacke. Einem niedrigrangigen Mitarbeiter gelang es, den Anrufer für einen legitimen IT-Mitarbeiter zu halten. Der Angestellte setzte daraufhin eine Microsoft-Entra-Passwortzurücksetzung in Gang und bestätigte eine Multi-Faktor-Authentifizierungsanfrage.

Diese Sicherheitslücke nutzten die Hacker aus, um 45 Gigabyte Daten aus den internen SharePoint- und OneDrive-Umgebungen von MSG zu stehlen. Zu den kompromittierten Dateien gehören Lohnsteuerkarten der Mitarbeiter, Kundenservice-Aufzeichnungen und interne Kommunikation. Sicherheitsexperten schätzen, dass insgesamt rund 26 Millionen Datensätze betroffen sind – darunter auch biometrische Protokolle sowie Namen, Telefonnummern und Adressen von Kunden.

Der aktuelle Vorfall zeigt eindringlich, wie Hacker gezielt menschliche Schwachstellen ausnutzen, um an sensible Unternehmensdaten zu gelangen. Dieser kostenlose Report enthüllt die psychologischen Methoden der Cyberkriminellen und zeigt, wie Sie solche Angriffe rechtzeitig entlarven. 7 psychologische Schwachstellen Ihrer Mitarbeiter jetzt entdecken

Geheimdossier gegen Gesichtserkennungs-Kritiker

Besonders brisant: Unter den gestohlenen Dateien fand sich ein Dossier mit dem Titel „Facial Recognition Activists.docx“ vom 23. Dezember 2022. Die Datei enthält Profile von drei bekannten Datenschutzaktivisten – Evan Greer, Albert Fox Cahn und Adam Schwartz – die sich öffentlich gegen den Einsatz von Gesichtserkennungstechnologie durch das Unternehmen ausgesprochen hatten.

Die geleakten Dateien zeigen, dass das Dossier persönliche Informationen, Social-Media-Profile und Screenshots von Tweets dieser Aktivisten enthielt. Berichten zufolge hatte MSG zudem Fotos von über 90 Anwaltskanzlei-Webseiten gescrapt, um seine Gesichtserkennungsdatenbank zu füllen. Die Dokumente deuten darauf hin, dass die Überwachung auch die Aktivitäten von Gegnern der Sicherheitspraktiken des Veranstaltungsortes umfasste.

Um IT-Sicherheitslücken dauerhaft zu schließen und gleichzeitig neue gesetzliche Anforderungen zu erfüllen, müssen Unternehmen ihre Präventionsstrategien proaktiv anpassen. Erfahren Sie im gratis E-Book, wie Sie Ihre Firma ohne teure Investitionen vor modernen Cyberangriffen und rechtlichen Risiken schützen. Jetzt kostenloses Cyber-Security E-Book herunterladen

Klagewelle nach Meisterfeier

Die Enthüllung des Datenlecks kommt nur kurz nach dem NBA-Finalsieg der New York Knicks und der anschließenden Meisterparade im Juni 2026. Während der sportliche Triumph den Vorfall zunächst überschattete, richtet sich der Fokus nun auf die rechtlichen und sicherheitstechnischen Konsequenzen für den Konzern.

Bereits wurde eine Sammelklage gegen das Unternehmen eingereicht. Sicherheitsforscher betonen, dass der Vorfall die erheblichen Risiken durch missbräuchliche Nutzung von Zugangsdaten und schwache Zugriffskontrollen aufzeigt. Experten empfehlen Unternehmen, strengere Schulungen für Mitarbeiter und „Least-Privilege“-Zugriffsmodelle einzuführen, um ähnliche Vishing-Angriffe zu verhindern, die die Multi-Faktor-Authentifizierung umgehen.

MSG hat das von ShinyHunters geforderte Lösegeld nicht gezahlt. Der Vorfall reiht sich ein in eine Serie von Supply-Chain-Angriffen im gleichen Monat, darunter auch Vorfälle bei LastPass und Salesforce CRM, die jedoch einer anderen Tätergruppe zugeschrieben werden.

de | wissenschaft | 69620374 |