Zum Inhalt springen
logo Das Magazin für digitalen Lifestyle und Entertainment
Eine Marke von Bild
News Sicherheit Alle Themen
Kurioser Fall

US-Firma gehackt – weil Kriminelle einfach nach Passwörtern gefragt haben

Person gibt am Laptop ein Passwort ein
Weil Passwörter einfach am Telefon verraten wurden, konnten Hacker ein Unternehmen angreifen Foto: Getty Images
Artikel teilen
Woon-Mo Sung
Redakteur

24. Juli 2025, 17:02 Uhr | Lesezeit: 2 Minuten

Mehr denn je gilt heutzutage, dass digitale Sicherheit das A und O einfach überall sein sollte. Das gilt selbstverständlich für Verbraucher, aber mehr noch für Unternehmen, die mindestens mit den sensiblen Daten von Mitarbeitern und Kunden hantieren. Dass man dafür die Aufgabenbereiche an externe Dienstleister auslagert, ist gängige Praxis. Doch nun ist es dadurch zu einem kuriosen Vorfall in den USA gekommen. Denn ein Unternehmen wurde gehackt, angeblich weil Mitarbeiter des IT-Dienstleisters Passwörter am Telefon herausgegeben haben.

Mitarbeiter verrieten Passwörter am Telefon

Wie unter anderem „Channel News Asia“ berichtet, geht es um Clorox, einen Bleichmittelhersteller. Dieser soll den IT-Dienstleister Cognizant verklagt haben. Der schwere Vorwurf: Mitarbeiter von Cognizant sollen wichtige Passwörter einfach an Unbefugte herausgegeben haben. Die Folge war ein Angriff durch die Hackergruppe „Scattered Spider“ bereits im August 2023.

Die Mitglieder von „Scattered Spider“ sind zwar in der Lage, Angriffe auf computergesteuerte Systeme durchzuführen. Doch um am Telefon an die Passwörter zu gelangen, waren offenbar keine nennenswerten Programmierkenntnisse notwendig. Und auch elaboriertes Social Engineering soll nicht zum Einsatz gekommen sein, obwohl die Gruppe dafür bekannt sei. Laut einer Klageschrift, die dem Bericht zufolge Reuters vorliegt, sollen die Täter einfach angerufen und nach Passwörtern gefragt haben.

Das sollen auch Auszüge aus den Gesprächsverläufen belegen. Dabei fragte ein Täter nach Passwörtern und der betroffene Mitarbeiter habe geholfen, ohne vorher die Identität der anderen Person zu überprüfen – also noch nicht einmal eine Mitarbeiterkennung oder den Namen des Vorgesetzten abgefragt zu haben.

380 Millionen US-Dollar Schaden

Cognizant hat bereits eine Antwort auf die Klage veröffentlicht und behauptet, nicht für die Cybersicherheit von Clorox verantwortlich gewesen zu sein. Stattdessen sei man lediglich in geringer Kapazität bei der Hilfs-Hotline mitbeschäftigt gewesen.

Auch interessant: Diese Passwörter können Betrüger in einer Sekunde knacken!

Sollten die Vorwürfe stimmen, würde es sich aber in der Tat um Nachlässigkeit handeln, wie der Sicherheitsexperte Maxie Reynolds einschätzt. Der Hacking-Angriff von 2023 sorgte für Schäden in Höhe von etwa 380 Millionen US-Dollar. Clorox wirft Cognizant außerdem vor, durch weitere Fehler die Problembeseitigung hinausgezögert zu haben.

Sie haben erfolgreich Ihre Einwilligung in die Nutzung unseres Angebots mit Tracking und Cookies widerrufen. Damit entfallen alle Einwilligungen, die Sie zuvor über den (Cookie-) Einwilligungsbanner bzw. über den Privacy-Manager erteilt haben. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit Tracking und Cookies entscheiden.

Bitte beachten Sie, dass dieser Widerruf aus technischen Gründen keine Wirksamkeit für sonstige Einwilligungen (z.B. in den Empfang von Newslettern) entfalten kann. Bitte wenden Sie sich diesbezüglich an datenschutz@axelspringer.de.