700Credit: Millionen Verbraucherdaten nach Hackerangriff offengelegt

Ein massiver Datendiebstahl über eine Drittanbieter-API führt zu einer Sammelklage gegen den Kreditdienstleister. Die gestohlenen Sozialversicherungsnummern bedeuten ein dauerhaftes Risiko für Identitätsdiebstahl.

Ein massiver Datenleck beim US-Kreditdienstleister 700Credit hat sensible Informationen von 5,8 Millionen Verbrauchern preisgegeben. Nun zieht der Vorfall rechtliche Kreise: Eine neue Sammelklage wirft dem Unternehmen Fahrlässigkeit vor. Die Hintergründe zeigen ein bekanntes, aber gefährliches Sicherheitsrisiko.

Neue Sammelklage in Michigan eingereicht

Die juristischen Probleme für 700Credit verdichten sich. Am 28. Dezember reichte ein Betroffener aus Texas eine Sammelklage vor einem Bundesgericht in Michigan ein. Der Vorwurf: Das Unternehmen habe es versäumt, angemessene Sicherheitsvorkehrungen zum Schutz der hochsensiblen Kundendaten zu treffen.

Die Klage markiert eine Eskalation im Fall des bereits Mitte Dezember bekanntgewordenen Datendiebstahls. Der Kläger argumentiert, die Fahrlässigkeit von 700Credit habe Millionen von Opfern „der Gnade von Cyberkriminellen ausgeliefert“. Besonders brisant: Zu den gestohlenen Daten gehören Sozialversicherungsnummern (SSNs). Diese sind, anders als Kreditkartennummern, lebenslang gültige Identifikatoren und können nicht einfach gesperrt werden. Der Diebstahl bedeutet für die Betroffenen ein dauerhaft erhöhtes Risiko für Identitätsdiebstahl und Betrug.

Lieferketten-Angriffe über Drittanbieter-APIs sind eine der größten Ursachen für Datenpannen, wie der Fall 700Credit eindrücklich zeigt. Ein kostenloses E‑Book erklärt praxisnah, wie Unternehmen ihre API‑Zugänge und Dienstleisterrisiken analysieren, Monitoring implementieren und Sofortmaßnahmen setzen, um Datendiebstahl zu verhindern. Ideal für Geschäftsführer und IT‑Verantwortliche, die ihre Organisation schnell absichern wollen. Jetzt kostenloses Cyber-Security-Strategie‑E‑Book herunterladen

Schwachstelle in Drittanbieter-Schnittstelle

Wie konnte es zu dem gigantischen Datenleck kommen? Der Angriff erfolgte nicht direkt auf die internen Systeme von 700Credit. Stattdessen nutzten die Hacker eine Sicherheitslücke in einer Application Programming Interface (API) eines Drittanbieters. Diese Schnittstelle war mit der Webanwendung 700Dealer.com von 700Credit verbunden.

Die Angreifer nutzten ein kompromittiertes Partnersystem, um sich über die API Zugang zu verschaffen. Der unbefugte Zugriff dauerte von Juli bis zum 25. Oktober 2025 – und blieb über Monate unentdeckt. Erst dann bemerkte das Sicherheitsteam von 700Credit verdächtige Aktivitäten und schaltete die betroffenen Zugangspunkte ab. Forensische Untersuchungen ergaben, dass die Angreifer etwa 20 Prozent der über das System erreichbaren Verbraucherdatensätze kopierten. Betroffen sind vor allem Kunden von Auto-, Wohnmobil- und Bootshändlern, die die Plattform von 700Credit für Bonitätsprüfungen nutzen.

Reaktion des Unternehmens und Entschädigung

700Credit betont, dass seine eigenen Kernnetzwerke sicher und betriebsbereit seien. Als Reaktion auf den Vorfall bietet das Unternehmen den betroffenen Verbrauchern nun zwölf Monate kostenlose Kreditüberwachung und Identitätsschutz-Dienstleistungen über den Partner TransUnion an. Zudem wurde ein spezielles Callcenter eingerichtet.

Ein ungewöhnlicher Schritt betrifft die regulatorische Aufarbeitung: Die US-Handelsaufsicht Federal Trade Commission (FTC) akzeptierte eine von 700Credit eingereichte, gebündelte Verletzungsmeldung. Diese trat an die Stelle tausender individueller Meldungen der betroffenen Autohändler – eine administrative Erleichterung, die den regulatorischen Prozess beschleunigen soll.

Das Problem: Angriffe über die Lieferkette

Der Fall 700Credit ist ein Lehrstück für die Gefahren von Lieferketten- oder Drittanbieter-Angriffen. Immer mehr Unternehmen sind auf vernetzte APIs und externe Partner angewiesen, um ihre Dienstleistungen zu erbringen. Dabei übernehmen sie jedoch auch die Sicherheitsschwächen dieser Partner.

„Wenn ein Unternehmen eine API eines Drittanbieters integriert, öffnet es effektiv eine Tür zu seinem Datentresor“, erklärt ein Cybersicherheitsexperte. „Wenn dieser Drittanbieter seine Schlüssel schlecht bewacht, sind die Daten des Hauptunternehmens genauso verwundbar, als hätte es selbst die Haustür offen gelassen.“ Für den Automobilhandel, der mit Unmengen sensibler Finanzdaten umgeht, ist der Vorfall ein Weckruf.

Ausblick: Rechtliche und regulatorische Folgen

Die langfristigen Konsequenzen für 700Credit könnten erheblich sein. Die gebündelte FTC-Meldung deutet darauf hin, dass die Aufsichtsbehörden den Fall genau verfolgen.

Was im ersten Quartal 2026 zu beobachten ist:
* Sammelklage: Die Gerichte müssen entscheiden, ob die verschiedenen Klagen als Sammelklage zugelassen werden. Dies könnte zu umfangreichen Vergleichsverhandlungen führen.
* Regulatorische Strafen: Je nachdem, wie die Untersuchungen zu den Sicherheitsprotokollen und dem Management von Drittanbietern bei 700Credit ausfallen, drohen möglicherweise hohe Strafen von Bundes- oder Landesbehörden.
* Branchenweite Änderungen: Verbände des Autohandels könnten schärfere Cybersicherheits-Audits für alle Dienstleister fordern, die Kundendaten verarbeiten.

Für die 5,8 Millionen betroffenen Verbraucher bleibt nur Wachsamkeit. Experten raten über die reine Überwachung hinaus zu einem Betrugsalarm oder einer Sicherheitssperre für die Kreditauskünfte. Diese Maßnahmen erschweren die Eröffnung neuer Konten durch Identitätsdiebe erheblich.

PS: Wussten Sie, dass viele Angriffe über kompromittierte Partnerzugänge laufen und oft erst Monate später entdeckt werden? Das Gratis‑E‑Book „Cyber Security Awareness Trends“ fasst praxisnahe Schutzmaßnahmen zusammen – von Anti‑Phishing‑Checks bis zur Absicherung von API‑Schnittstellen – und zeigt, welche Schritte Unternehmen sofort umsetzen sollten, um Bußgelder und Reputationsschäden zu vermeiden. Gratis Cyber-Security-Guide jetzt anfordern