Ein inzwischen vom FBI dingfest gemachter Hacker hat Kreditkartendaten von rund 100 Millionen Kunden der US-Bank Capital One gestohlen.
Bei einem der größten Hackangriffe auf eine US-Bank und dem umfangreichsten Datenleck in der Branche seit dem Equifax-Angriff hatte ein Hacker im März diesen Jahres den Zugriff auf mehr als 100 Millionen Kundenkonten und Kreditkartendaten von Capital One Financial Corp., einem US-amerikanischen Finazdienstleister mit Sitz in McLean (Virginia), erlangt. Die Bank ist der fünftgrößte Anbieter von Kreditkarten in den USA. Nach Angaben von Capital One sind dadurch ca. 100 Millionen Kunden in den USA und ca. 6 Millionen Kunden in Kanada betroffen. Wie die Bank weiterhin informierte, seien weder Kreditkartennummern noch persönliche Login-Daten ausgespäht worden. Unwahrscheinlich wäre auch, dass die gestohlenen Informationen für kriminelle Machenschaften, wie Betrug, missbraucht wurden.
Der Hackerangriff und seine Folgen
Der bereits am Montag von der Bundespolizei FBI festgenommenen Hackerin Paige T., einer Programmiererin aus Seattle, wird vorgeworfen, sich Zugang auf einen Capital One-Server verschafft zu haben. Damit erbeutete sie 140.000 Sozialversicherungs-Nummern, 1 Million kanadische Sozialversicherungsnummern und 80.000 Bankkontonummern sowie eine unbekannte Anzahl von Namen, Adressen, Postleitzahlen, Telefonnummern, E-Mail- Adressen, Geburtsdaten, das angegebene Einkommen, Kreditkartenanträge und Kreditkarten aus den Jahren 2005 bis 2019, wie die Bank am Montagabend mitteilte. Zudem erhielt T. Zugriff auf Kundenstatusdaten, wie Informationen zur Kreditwürdigkeit, dem Verfügungslimit der Karten, Guthaben, Zahlungsverlauf, Kontaktinformationen und Fragmente von Transaktionsdaten.
CEO von Capital One entschuldigt sich für Vorfall
Der CEO der Bank, Richard D. Fairbank, bekundete sein Bedauern zum Vorfall: „Es tut mir zutiefst leid, was passiert ist“. Bereits am 17. Juli wurde die Bank durch einen externen IT-Experte auf eine Schwachstelle in ihrem System hingewiesen. Zwei Tage danach entdeckte sie den Daten-Diebstahl. Das Unternehmen gab an, die Sicherheitslücke nun geschlossen zu haben. Capital One rechnet mit einem entstandenen Schaden von 100 bis 150 Millionen US-Dollar (ca. 135 Millionen Euro). Die Kosten fallen vorwiegend für Rechtsanwälte, Kunden-Benachrichtigungen und die Umstellung der Technik an.
Falsch konfigurierte Web Application Firewall ermöglichte Hack
Die 33-jährige Hackerin hatte zuvor als Software-Ingenieur für Amazon Web Services gearbeitet, des von Capital One verwendeten Cloud-Hosting-Unternehmens, teilte das Justizministerium mit. Zugriff auf die Daten erhielt sie durch Ausnutzen einer falsch konfigurierten Web Application Firewall. Amazon weist darauf hin, dass die fehlerhafte Konfiguration nicht in der Cloud-Infrastruktur Amazons, sondern in der von der Bank installierten Software auftrat.
Der Täterin auf der Spur
Zwar hat T. die Bankserver unter Verwendung des TOR-Netznetzwerkes, bzw. eines schwedischen VPN geknackt, bemühte sich im Nachhinein jedoch kaum darum, ihre Identität zu verschleiern. Wie es in der Anklage heißt, hätte T. Informationen, wie eine umfangreiche Ordnerliste der Bank und verwendete Befehle bezüglich des Hacks auf GitHub gepostet und dabei ihren vollständigen Namen verwendet. Die Veröffentlichungen auf Github erfolgten dann zudem über den gleichen VPN-Anbieter.
Capital One
Weiterhin brüstete sie sich in den sozialen Medien mit Informationen zu Capital One. In einem Slack-Channel erklärte T. die Methode, mit der sie in Capital One eingebrochen sei. Sie behauptete, einen speziellen Befehl zum Extrahieren von Dateien in einem Capital One-Verzeichnis verwendet zu haben, das auf Amazon-Servern gespeichert war. „Ich will es von meinem Server holen, deshalb archiviere ich alles lol“, postete T. auf Slack. Eine Person war alarmiert darüber, sie schrieb, die Informationen seien „lückenhaft“ und fügte hinzu: „Geh nicht ins Gefängnis, bitte.“
Wie bekannt wurde, verwendete sie bei Slack den Nickname „Erratic“. Dies war derselbe Name, den sie auch bei einem Twitter-Account und Meetup nutzte. Beide tragen den Klarnamen der Angeklagten. Getwittert hat sie, dass sie Sozialversicherungsnummern mit vollständigen Namen und Geburtsdaten verteilen wolle. Sicher waren sich die FBI-Beamten, dass sie die richtige Person gefunden haben, zudem noch durch einen gleichfalls online geposteten Tierarzt-Kostenvoranschlag auf Ts Adresse.
Für Computerbetrug drohen T. fünf Jahre Haft
Ein User, der die von T. eingestellten Informationen auf GitHub gesehen hat, informierte Capital One über die „durchgesickerten Daten“. Capital One fand bei entsprechenden Nachforschungen heraus, dass sie seit März Ziel eines groß angelegten Hackerangriffs waren und benachrichtigten infolge das FBI. Die Bundespolizei nahm die 33-Jährige nach einer Razzia fest und beschlagnahmte die sich in ihrem Besitz befindlichen Geräte, die auf Capital One und Amazon sowie andere Unternehmen verweisen, die möglicherweise als Ziele von versuchten oder tatsächlichen Verstößen gelten.
Derzeit sitzt T. in Untersuchungshaft. Die Auswertungen dauern aktuell noch an. Cyberkriminelle könnten die von ihr erbeuteten Daten für Social-Engineering-Angriffe in Kombination mit Identitätsdiebstahl verwenden. Die Anklage lautet auf Computerbetrug und -missbrauch. Bei einer Verurteilung drohen T. fünf Jahre Haft sowie 250.000 Dollar Geldstrafe.
Beitragsbild Denis Oliveira, thx! (unsplash licence)
Tarnkappe.info
