Datenschutz & Sicherheit
Vorfall bei Vodafone: Cybergang Lapsus$ klaut Software-Quellcodes
Das Telekommunikationsunternehmen Vodafone ist Opfer von Cyberkriminellen geworden. Die kriminelle Online-Vereinigung Lapsus$ ist in IT-Systeme eingedrungen und hat etwa Software-Quelltexte abgegriffen. Nach offenbar erfolglosen Erpressungsversuchen sind die Daten nun offen im Netz gelandet.
Weiterlesen nach der Anzeige
Die Darknet-Webseite von Lapsus$ zeigt Informationen zu einem Datenleck bei Vodafone, einschließlich der Art der gestohlenen Daten und des Datums des Vorfalls.
(Bild: heise medien / Screenshot)
Die Darknet-Webseite von Lapsus$ ziert ein neuer Beitrag, der den Datenklau bei Vodafone ankündigt. Er datiert auf den vergangenen Donnerstag und soll Dokumente zur „vollen Infrastruktur, Quelltextdateien, GitHub-Tree und interne Netzwerkkarten“ umfassen. Den dortigen Angaben zufolge hat das Archiv „VODA_FULL_DUMP.tar.xz“ einen Umfang von 180 GByte an Daten. Das Archiv ist zudem verlinkt und lässt sich unter anderem von der Darknet-Leaksite der Lapsus$-Bande herunterladen.
Vodafone bestätigt Datenleck
Auf Anfrage von heise online bestätigt Vodafone den unfreiwilligen Datenabfluss. „Vodafone kann bestätigen, dass im März 2026 eine kriminelle Organisation unbefugten Zugriff auf eine sehr begrenzte Anzahl von Software-Quellcodedateien erlangt hat. Die kopierten Dateien wurden am 10. Mai veröffentlicht“, erklärt das Unternehmen. Sicherheitsexperten von Vodafone hätten den Vorfall bereits im März 2026 unmittelbar erkannt und eingedämmt. Der Telekommunikationsanbieter legt Wert auf die Feststellung, dass keine sensiblen Informationen von Kunden kopiert wurden.
Zudem habe es keinen Zugriff auf interne Systeme gegeben. Es kam demnach auch zu keinerlei Beeinträchtigungen der internen Infrastruktur, von Netzwerken oder Produktionssystemen.
Es bleibt unklar, wie der Angriff ablief und welche Systeme kompromittiert wurden. Auch über die Höhe der Lösegeldforderung ist nichts bekannt. Es handelt sich nicht um den ersten IT-Vorfall aus dem Vodafone-Umfeld. Mitte 2023 konnten Cyberkriminelle etwa bei einem Vertriebspartner sensible Daten kopieren. Im vergangenen Jahr hat die Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider gegen Vodafone zwei Bußgelder in Höhe von 15 beziehungsweise 30 Millionen Euro verhängt. Dabei ging es unter anderem um Kundendaten, die Vertriebspartner im Auftrag von Vodafone zur Kundengewinnung unzulässig genutzt haben.
Weiterlesen nach der Anzeige
(dmk)