C
Security

Xfinity-Datenleck: 36 Millionen Nutzer betroffen – Vergleich erreicht

Nach dem massiven Datenleck bei Xfinity steht ein 117,5 Millionen Dollar Vergleich. Betroffene können nun Entschädigungen fordern. Eine kritische Einordnung der Summen und Schwachstellen.

CR
Codekiste Redaktion15. April 2026
#Security#Datenleck#Xfinity#Citrix#Class Action

Vom Citrix-Bug zum Millionen-Deal: Was beim Xfinity-Datenleck geschah

Im Spätherbst 2023 ereignete sich einer der größten Datendiebstähle der jüngeren US-Geschichte: Hacker verschafften sich Zugang zu den persönlichen Daten von 36 Millionen Kunden des Internetanbieters Xfinity, einer Tochterfirma von Comcast. Nun gibt es Bewegung in der Sache – ein Gericht hat einen Vergleich über 117,5 Millionen US-Dollar genehmigt. Doch wer glaubt, dass damit Gerechtigkeit geübt wurde, irrt sich. Ein Blick auf die Details offenbart die strukturellen Schwachstellen moderner IT-Infrastrukturen und die absurde Diskrepanz zwischen geleakten Daten und Entschädigungen.

Die Timeline: Ein Zeitfenster mit verheerenden Folgen

Der Vorfall verdeutlicht eindrucksvoll, wie kritisch die Zeitspanne zwischen der Bekanntgabe einer Schwachstelle („Patch Tuesday“-Szenario) und der tatsächlichen Absicherung von Systemen ist. Am 10. Oktober 2023 warnte der Software-Anbieter Citrix vor einer schwerwiegenden Sicherheitslücke in einem Produkt, das weltweit von Tausenden Unternehmen – darunter auch Xfinity – genutzt wird. Zeitgleich wurde ein Patch bereitgestellt. Am 23. Oktober folgten weitere Mitigation-Ratschläge.

Xfinity gab an, die Systeme umgehend gepatcht und abgesichert zu haben. Doch das war zu spät: Wie die Untersuchung ergab, griffen Hacker bereits zwischen dem 16. und 19. Oktober auf interne Systeme zu – also in dem kritischen Fenster, bevor die Updates vollständig wirksam waren.

Welche Daten abgeflossen sind

Das Ausmaß des Lecks ist beträchtlich. Gestohlen wurden nach Angaben von Comcast:

  • Benutzernamen und gehashte Passwörter (Hashed Passwords)
  • Namen und Kontaktinformationen
  • Geburtsdaten
  • Die letzten vier Ziffern der Sozialversicherungsnummer (für US-Bürger ein massives Identitätsdiebstahl-Risiko)
  • Sicherheitsfragen und -antworten

Gerade die Kombination aus Sozialversicherungsnummer und Sicherheitsfragen ist ein gefundenes Fressen für Kriminelle. Die Tatsache, dass Unternehmen überhaupt noch auf veraltete Konzepte wie „Sicherheitsfragen“ setzen – die im Grunde nur leicht zu findende, in Klartext gespeicherte Passwörter sind –, ist ein Versäumnis, das bei codekiste.dev schon oft kritisiert wurde.

Der Vergleich: 117,5 Millionen Dollar – und was davon übrig bleibt

Auf den Datenleck folgte eine Class Action Lawsuit. Nun wurde ein Vergleich über 117,5 Millionen Dollar geschlossen. Betroffene Kunden können nun ihren Anteil fordern.

Dafür benötigen Betroffene ihre individuelle Settlement Member ID, die per E-Mail verschickt wurde. Wer die Mail nicht findet, kann über ein Online-Formular auf der Vergleichswebsite nachschlagen. Mit dieser ID lässt sich der Anspruch online einreichen.

Es gibt zwei Optionen für die Auszahlung:

  1. Pauschale Zahlung: Geschätzt werden ca. 50 US-Dollar pro Kopf.
  2. Einzelne Schadensabrechnung: Wer höhere Verluste oder Zeitaufwand nachweisen kann, fordert einen höheren Betrag. Die tatsächliche Summe hängt davon ab, wie viele Menschen überhaupt Ansprüche anmelden.

Kritische Einordnung: 50 Dollar für Identitätsdiebstahl?

Aus journalistischer und IT-Sicherheits-Sicht wirft dieser Vergleich mehr Fragen auf, als er löst.

Erstens: 50 Dollar als pauschale Entschädigung für den Diebstahl hochsensibler Daten – inklusive Sozialversicherungsnummer und Passwörtern – ist nichts weiter als ein Witz. Wer in den USA Opfer eines Identitätsdiebstahls wird, steht schnell vor fünfstelligen Schäden und monate- oder jahrelangen bürokratischen Albträumen. Die Abschreckungswirkung für Konzerne geht ins Leere, wenn die Straf- und Vergleichszahlen im Verhältnis zum Umsatz marginal ausfallen.

Zweitens: Das Supply-Chain-Problem. Xfinity ist hier nicht der einzige Täter. Die Schwachstelle lag bei Citrix. Doch die Realität zeigt, dass Unternehmen wie Xfinity ihre Abhängigkeiten von Drittanbietern nicht im Griff haben. Wenn ein kritischer Patch verfügbar ist, müssen Systeme innerhalb von Stunden, nicht Tagen, aktualisiert werden. Das 4-Tage-Fenster im Oktober 2023 war ein offenes Scheunentor.

Drittens: Der europäische Vergleich. Wäre Xfinity ein europäisches Unternehmen mit europäischen Kunden, würde die DSGVO greifen. Hier lägen die Bußgelder für derart gravierende Versäumnisse und das Leck von 36 Millionen Datensätzen schnell im drei- oder vierstelligen Millionenbereich – und Betroffene könnten leichter immaterielle Schäden einklagen. In den USA hingegen verlaufen sich Class Action Lawsuits oft in Almosen für die Einzelnen und hohen Anwaltsgebühren.

Fazit

Der Xfinity-Datenleck ist ein klassisches Beispiel für die prekäre Lage der IT-Sicherheit in großen Konzernen. Ein verspäteter Patch bei einem Drittanbieter reicht aus, um 36 Millionen Kunden kompromittieren. Der nun erreichte Vergleich mag auf dem Papier mit 117,5 Millionen Dollar hoch klingen, doch für den Einzelnen bleiben am Ende nur 50 Dollar – eine Summe, die nicht einmal ein Jahresabo für einen ordentlichen Password-Manager deckt. Wer betroffen ist, sollte seinen Anspruch anmelden, aber nicht den Fehler machen, darin echte Entschädigung zu sehen. Wahre Sicherheit entsteht nur durch Zero-Trust-Architekturen und den konsequenten Abschied von unsicheren Konzepten wie Sicherheitsfragen.

Quelle: 9to5Mac

QUELLEN
9to5Mac
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

Cisco stopft kritische Lücken in ISE und Webex: RCE und Identitätsdiebstahl drohen

Security

IT-Forensik als Druckmittel: Wenn Ausländerbehörden Handys ausspionieren

Security

KI-Phishing und Datenklau: UAC-0247 greift ukrainische Kliniken an