Syniverse kommt ins Spiel, wenn es darum geht, SMS-Nachrichten von einem Netz ins andere und von einem Provider zum anderen weiterzuleiten. Hunderte großer und kleiner Provider greifen auf die Dienstleistung der in der Öffentlichkeit kaum bekannten Firma zurück, darunter auch die Großen wie AT&T, T-Mobile und Verizon. Jährlich über 740 Milliarden Nachrichten für mehr als 300 Mobilfunkbetreiber weltweit verarbeitet Syniverse nach eigenen Angaben.

In einer Einreichung bei der US-Börsenaufsicht SEC (Securities and Exchange Commission) legte Syniverse erstmals offen, dass das Unternehmen im Mai 2021 von einem unbefugten Zugriff auf seine Betriebs- und Informationstechnologiesysteme durch eine unbekannte Person oder Organisation erfahren hatte. Syniverse will unmittelbar umfangreiche Aufklärungsmaßnahmen ergriffen haben. Auch die Strafverfolgungsbehörden seien frühzeitig eingeschaltet worden. Der Zugriff wurde unverzüglich beseitigt.

Die Erkenntnisse aus der internen Untersuchung hätten gezeigt, „dass der unbefugte Zugriff im Mai 2016 begann“ und dass „die Person oder Organisation bei mehreren Gelegenheiten unbefugten Zugriff auf Datenbanken innerhalb des Syniverse-Netzwerks erlangte“. Zudem seien Zugriffsinformationen von etwa 235 Kunden kompromittiert worden. Die wichtige Frage, ob das bedeutet, dass der Angreifer Zugriff auf Kunden-SMS gehabt hat, lässt Syniverse unbeantwortet. Auch betroffene Netzbetreiber äußern sich bislang dazu nicht.

Die Kollegen von Ars Technica hatten versucht, eine detailliertere Stellungnahme zu erhalten. Die erschöpfte sich indes in einem Verweis auf die Vertraulichkeit der Informationen: „In Anbetracht der Vertraulichkeit unserer Beziehungen zu unseren Kunden und der laufenden Ermittlungen der Strafverfolgungsbehörden erwarten wir keine weiteren öffentlichen Erklärungen zu dieser Angelegenheit“, so Syniverse.

Vice hatte eine ähnliche Antwort bekommen und daraufhin eine Person gefragt, die bei einem Mobilfunk-Provider arbeitet und entsprechend das Syniverse-System kennt. Laut dieser Person könnte derjenige, der Syniverse gehackt hat, durchaus Zugang zu Metadaten wie Länge und Kosten, Anrufer- und Empfängernummern, dem Standort der Gesprächspartner sowie dem Inhalt von SMS-Textnachrichten gehabt haben.

Wenig vertrauensbildend ist der Umstand, dass Syniverse den Dauer-Hack nicht etwa proaktiv öffentlich macht, sondern ihn lediglich gezwungenermaßen in einer Pflichtmitteilung an die Börsenaufsicht beiläufig erwähnt. Die Mitteilung wurde erforderlich, weil Syniverse in Kürze mit einer Spac (Special Purpose Acquisition Company) fusionieren will, um den Expressweg an die Börse zu beschreiten. Dabei gehört die Angabe von Risikofaktoren für Anleger mit zum SEC-Bericht.

Darin versucht Syniverse, beruhigend auf Lesende einzuwirken. So habe man im Rahmen der Untersuchung des Hacks keine Anzeichen für eine etwaige Absicht des Angreifers festgestellt, den Betrieb oder den der Kunden zu stören. Zudem habe es keinen Versuch gegeben, „die unbefugten Aktivitäten zu Geld zu machen“.

Mit anderen Worten: Syniverse weiß nicht, welchem Zweck der Fünf-Jahre-Dauerhack gedient haben könnte. Das indes bedeutet nicht, dass es keinen Zweck gab.