Thought Leadership
Der US-amerikanische Cornflakes-Hersteller WK Kellogg hat einen Datenschutzvorfall bestätigt, bei dem sensible Mitarbeiterdaten durch Ausnutzung einer Schwachstelle in der Dateiübertragungssoftware Cleo kompromittiert wurden.
Laut einer am 4. April 2025 bei der Generalstaatsanwaltschaft von Maine eingereichten Meldung verschafften sich Angreifer am 7. Dezember 2024 unbefugten Zugriff auf Personalakten, die über Cleo-Server übertragen wurden. Der in Michigan ansässige Frühstücksflocken-Produzent gab an, den Vorfall erst am 27. Februar entdeckt zu haben und hat mittlerweile damit begonnen, betroffene Personen per Post zu informieren.
Die vollständige Tragweite des Vorfalls ist noch unklar. Bestätigt ist, dass mindestens ein Mitarbeiter in Maine betroffen ist, dessen Name und Sozialversicherungsnummer kompromittiert wurden.
Bekannte Schwachstellen ausgenutzt
Die Angreifer nutzten bekannte Sicherheitslücken in Cleos Dateiübertragungsprodukten Harmony, VLTrader und LexiCom. Eine als CVE-2024-50623 registrierte Schwachstelle ermöglichte uneingeschränkte Datei-Uploads und -Downloads. Obwohl Cleo bereits im Oktober 2024 einen Patch veröffentlicht hatte, stellten Sicherheitsforscher später fest, dass dieser keinen vollständigen Schutz vor Eindringlingen bot.
Im Dezember wurde eine zweite Schwachstelle (CVE-2024-55956) entdeckt, die es nicht authentifizierten Nutzern erlaubt, beliebige Bash- oder PowerShell-Befehle auszuführen – ein gefährliches Einfallstor für Schadsoftware.
Clop-Ransomware-Gruppe unter Verdacht
Sicherheitsfirmen wie Arctic Wolf und Mandiant (via Infosecurity Magazine) bringen den Angriff mit einer breiteren Kampagne in Verbindung, die auf Organisationen abzielt, die Cleo-Produkte verwenden. Die Clop-Ransomware-Gruppe steht im Verdacht, für den Angriff verantwortlich zu sein. Im Februar tauchte WK Kellogg auf der Dark-Web-Leak-Seite von Clop auf, was Druck auf das Unternehmen ausübte, zu reagieren.
WK Kellogg bestätigte, dass Cleo-Server für die Übermittlung von Personaldaten an HR-Dienstleister genutzt wurden. Genau diese Übertragungen waren das Ziel des Angriffs.
Das Unternehmen hat damit begonnen, betroffenen Personen ein kostenloses einjähriges Paket zum Schutz vor Identitätsdiebstahl anzubieten, das Kreditüberwachung und Unterstützung bei Betrug umfasst.
