EXKLUSIV-Hacker von Star Health sendet nach eigenen Angaben Todesdrohungen und Kugeln an indische Führungskräfte

- von Munsif Vengattil und Praveen Paramasivam und Aditya Kalra

NEU DELHI, 09. Mai (Reuters) - Der Hacker, der im vergangenen Jahr sensible persönliche Daten des indischen Krankenversicherers Star Health ausspähte, hat die Verantwortung dafür übernommen, dass er Todesdrohungen und Patronen an den Geschäftsführer und den Finanzchef des Unternehmens geschickt hat.

Der Hacker, der unter dem Pseudonym "xenZen" auftritt, beschrieb seine Repressalien gegen Star Health and Allied Insurance Company STAU.NS in einer E-Mail vom 31. März an Reuters. Die Nachrichtenagentur berichtet zum ersten Mal darüber.

Star Health, Indiens größter Krankenversicherer, sieht sich der Kritik von Kunden und Datensicherheitsexperten ausgesetzt, seit Reuters (link) im vergangenen September berichtete, dass xenZen sensible Kundendaten, darunter auch medizinische Berichte, weitergegeben hatte. Damals teilte xenZen in einer E-Mail an Reuters mit, dass man im Besitz von 7,24 Terabyte an Daten von über 31 Millionen Star Health-Kunden sei und mit potenziellen Käufern für die Daten spreche.

Die Nachrichtenagentur hat weder die Identität oder den Standort von xenZen noch die Richtigkeit der in der E-Mail vom 31. März dargelegten Fakten oder das Motiv des Hackers, Star Health und seine Führungskräfte ins Visier zu nehmen, unabhängig bestätigt.

Als Antwort auf Fragen von Reuters sagte der Leiter der Rechtsabteilung von Star Health in einer Erklärung, das Unternehmen könne "aufgrund einer laufenden, hochsensiblen strafrechtlichen Untersuchung" im Zusammenhang mit dem Datenleck keine Stellungnahme abgeben.

XenZen gab an, in zwei Paketen, die im Februar an den Hauptsitz von Star Health in der südindischen Stadt Chennai im Bundesstaat Tamil Nadu geschickt wurden, Patronenhülsen versteckt zu haben.

Die E-Mail enthielt Fotos, die die Pakete zeigten, die an den Vorstandsvorsitzenden Anand Roy und den Finanzvorstand Nilesh Kambli adressiert waren, sowie eine Notiz, auf der zu lesen war: "Das nächste geht in deinen und deiner Leute Kopf. tik tik tik"

Roy reagierte nicht auf einen Anruf, in dem er um einen Kommentar gebeten wurde, während Kambli der Nachrichtenagentur Reuters mitteilte, dass das PR-Team von Star Health in seinem Namen antworten würde. Das Unternehmen reagierte nicht auf weitere Bitten um eine Stellungnahme.

Der New Indian Express berichtete am Samstag, dass die Polizei in Tamil Nadu die Drohungen untersuchte und sie mit xenZen in Verbindung brachte.

Die Polizei von Tamil Nadu reagierte nicht auf Anfragen von Reuters.

Drei indische Polizeiquellen bestätigten, dass eine Untersuchung im Gange sei. Sie lehnten es ab, ihre Namen zu nennen, da die Angelegenheit vertraulich ist.

Eine Polizeiquelle sagte, dass ein Mann aus dem benachbarten Bundesstaat Telangana, dessen Namen sie nicht nannte, in den letzten Tagen verhaftet wurde, weil er angeblich dabei geholfen hat, die Pakete im Namen von xenZen an Star Health zu liefern.

Reuters war nicht in der Lage, die Person zu identifizieren oder den Status ihrer Verhaftung zu erfahren.

Weltweit haben die Unternehmen des Gesundheitswesens (link) die Risiken für ihre Spitzenkräfte neu bewertet, nachdem der Vorstandsvorsitzende von UnitedHealthcare, Brian Thompson, im Dezember bei einem gezielten Anschlag ermordet wurde (link). Die Ermordung lenkte auch die Aufmerksamkeit (link) auf die wachsende Verärgerung der Patienten über die Krankenversicherungen.

In der E-Mail vom 31. März an Reuters bezog sich xenZen auf die Ermordung von Thompson und sagte, dass die Todesdrohungen an die Führungskräfte von Star Health gesendet wurden, nachdem der Hacker von Kunden von Star Health um Hilfe gebeten worden war, denen Ansprüche auf Arztrechnungen trotz Versicherungsplänen mit dem Unternehmen verweigert worden waren.

Star Health äußerte sich nicht zu dem von xenZen beschriebenen Motiv, den verweigerten Ansprüchen der unzufriedenen Kunden oder den polizeilichen Ermittlungen zu den Drohungen.

Star Health leitete interne Ermittlungen zu dem Datenleck im vergangenen Jahr ein, das nach Angaben des Unternehmens auf eine Lösegeldforderung des Hackers in Höhe von 68.000 Dollar folgte (link).

Star Health verklagte im vergangenen September (link) xenZen und die Messaging-App Telegram, weil sie die sensiblen Kundendaten auf ihren Chatbots gehostet hatten, wie aus Gerichtsunterlagen hervorgeht. Die Chatbots, auf denen die gestohlenen Daten gespeichert waren, wurden inzwischen gelöscht, und der Fall ist noch nicht abgeschlossen.