Ein Hacker erbeutete 11 Millionen Datensätze des Mobilfunkanbieters Optus. Doch nun zog er den Schwanz ein und löschte die Daten - angeblich.
Ein Hacker erbeutete persönliche Daten von 11 Millionen Kunden des australischen Mobilfunkbetreibers Optus. Doch nach mehreren Erpressungsversuchen knickte der Angreifer schließlich ein und entschuldigte sich bei allen Betroffenen. Dass er Angst vor einer angekündigten Polizeiaktion bekam, ist durchaus denkbar.
Persönliche Daten von 11 Millionen Kunden gestohlen
Am 22. September gab der zweitgrößte australische Mobilfunkbetreiber Optus einen Sicherheitsvorfall bekannt, bei dem der Angreifer möglicherweise auf persönliche Kundendaten zugreifen konnte. Darunter Namen, Geburtsdaten, Telefonnummern, E-Mail-Adressen, Adressen, Führerscheine und Reisepassnummern.
Nur einen Tag später erschienen einige dieser Daten im Hacking-Forum „Breached„. Der unter dem Pseudonym „optusdata“ auftretende Hacker forderte schließlich ein Lösegeld in Höhe von einer Million US-Dollar von Optus. Sollte das Unternehmen der Forderung nicht nachkommen, veröffentliche er sämtliche Datensätze der 11 Millionen Kunden, so die Drohung.
Der Optus-Hacker startete mehrere Erpressungsversuche
Doch Optus ging nicht auf die Erpressungsversuche des Hackers ein und wandte sich stattdessen an die örtlichen Strafverfolgungsbehörden. Der Angreifer entschied sich infolgedessen, weitere 10.000 Datensätze im Forum zu veröffentlichen. Gegenüber dem Reporter Jeremy Kirk teilte er außerdem mit, dass er einen ungesicherten API-Endpunkt verwendete, um die Daten zu stehlen, anstatt in die internen Systeme des Unternehmens einzudringen.
Später erhielten sogar die Opfer, deren Daten der Hacker erbeutete, Nachrichten, in denen sie zu einer Zahlung in Höhe von umgerechnet rund 1.300 US-Dollar aufgefordert werden, da der Angreifer ihre Daten andernfalls an andere Hacker verkaufen würde. Es ist jedoch unklar, ob diese Mitteilungen tatsächlich von dem ursprünglichen Angreifer stammten oder ob bereits ein anderer Krimineller die veröffentlichten Datensätze für die Erpressung missbrauchte.
Schließlich knickte der Hacker ein und entschuldigte sich bei Optus und den Kunden
Doch nun kam die Kehrtwende. Der Optus-Hacker teilte auf Breached eine Nachricht, dass er den Verkauf der Daten einstellt. Aufgrund fortschreitender Untersuchungen des Vorfalls entschied er sich, die erbeuteten Daten von seinem Datenträger zu löschen. Er entschuldigte sich außerdem bei Optus und allen betroffenen Kunden.
Wie BleepingComputer jedoch anmerkt, sei dabei zu beachten, dass dieser Benutzer auf Breached niemals offiziell als der für den Einbruch bei Optus verantwortliche Hacker bestätigt wurde. Möglicherweise steht sein Rückzieher aber im Zusammenhang mit der Ankündigung der australischen Bundespolizei (AFP), die es sich mit der „Operation Hurricane“ zum Ziel gesetzt hat, den Optus-Hacker zu identifizieren.
Dabei zeigt sich die AFP sehr selbstbewusst, was aufgrund der weitreichenden Befugnisse der Behörde sicher nicht verwunderlich ist.
„Wir wissen von Berichten über gestohlene Daten, die im Dark Web verkauft werden, und deshalb überwacht die AFP das Dark Web mit einer Reihe von Spezialfähigkeiten. Kriminelle, die Pseudonyme und Anonymisierungstechnologie verwenden, können uns nicht sehen, aber ich kann Ihnen sagen, dass wir sie sehen können.“
AFP
Eine Haftstrafe von bis zu 10 Jahren sei für den Angreifer vorgesehen. Ob diese infolge der Entschuldigung des Optus-Hackers am Ende geringer ausfällt, bleibt jedoch abzuwarten.