Auf Breachforums behauptet ein Nutzer, dass er im Besitz von Daten ist, die angeblich von 25 internationalen Grosskonzernen gestohlen wurden. Nach eigenen Angaben will der Nutzer mehr als 2,8 Millionen Datenzeilen besitzen. Zu den vermeintlichen Opfern gehören laut dem Nutzer die Tech-Konzerne Amazon, HP und Lenovo, die kanadische Post, die Fast-Food-Kette McDonalds, die Banken HSBC und UBS sowie der Genfer Aroma- und Duftstoffproduzent Firmenich.
Die Mitte 2023 entdeckte Schwachstelle ermöglichte es Hackern, die Authentifizierung zu umgehen und auf sensible Daten zuzugreifen. Die Sicherheitslücke wurde von zahlreichen Bedrohungsakteuren ausgenutzt, besonders aktiv war dabei die Ransomware-Bande Clop, die sich zu zahlreichen Angriffen auf die Zero-Day-Lücke in der Software von Progress bekannte.
Kein Hacker?
Auf Breachforums schreibt "Nam3L3ss", dass er kein Cyberkrimineller und auch nicht mit einer Hacker- oder Ransomware-Bande verbunden sei. "Wenn etwas einen Benutzernamen oder ein Passwort erfordert, werde ich nicht darauf zugreifen", schreibt er als Einleitung zu seinem Beitrag. Zudem behauptet er, dass er keine Daten verkaufen oder erwerben würde.
Seine Arbeit bestehe in der Überwachung des Darknets und von exponierten Online-Cloud-Diensten, wie Open AWS Buckets, Azure, Digital Ocean und Google. Als weitere konkrete Beispiele für seine Tätigkeiten nennt er die Überwachung von offenen MongoDB- und FTP-Servern auf der ganzen Welt.
"Wenn eine Firma oder eine Regierungsbehörde dumm genug ist, ihre Daten während der Übertragung nicht zu verschlüsseln, oder wenn ein Administrator zu faul ist, seinen Onlinespeicher mit einem Passwort zu schützen, dann ist das ihre Sache", schreibt der Nutzer. Dabei verweist er auf die Verantwortung dieser Organisationen, personenbezogene Daten zu verschlüsseln.
Anderer Vorfall als Beweggrund
Als Motivation für die Veröffentlichung nennt "Nam3L3ss" einen Ransomware-Angriff auf die Stadt Columbus im US-Bundesstaat Ohio. Nachdem die Stadt im Sommer von der Ransomware-Bande Rhysida angegriffen wurde, spielte Andy Ginther, der Bürgermeister von Columbus, die Angriffe herunter und verklagte daraufhin einen Security-Forscher, der behauptete, dass das Problem weit grösser sei, als zuvor zugegeben wurde.
Der Security-Spezialist verschaffte sich Zugang zu den gehackten Daten und warnte über die Medien, dass die Sicherheitslücke viel tiefer ging, als die Stadt ihren Bürgerinnen und Bürgern mitgeteilt hatte. Daraufhin wurde er von der Stadt verklagt. In diesem Vorgehen sieht der Nutzer eine abschreckende Wirkung, die einen "Einfluss auf die Offenlegung von Hackerangriffen und die öffentliche Transparenz" haben könnte.
Die Welt soll deshalb genau wissen, welche Daten bei den betroffenen Firmen und Regierungsbehörden durchgesickert sind. Dabei sagt "Nam3L3ss", dass der betroffene Security-Experte die Daten nicht veröffentlicht habe, er dies aber nachholen wolle. "Ich werde sie alle unzensiert veröffentlichen", warnt der Nutzer.
Daten für Phishing oder Social Engineering
Zu den gestohlenen Daten, die bis Mai 2023 zurückreichen, gehören unter anderem die Mitarbeiterverzeichnisse der betroffenen Grosskonzerne. Die Verzeichnisse enthalten detaillierte Mitarbeiterinformationen, darunter Namen, E-Mail-Adressen, Telefonnummern, Kostenstellencodes und in einigen Fällen auch ganze Organisationsstrukturen.
Die Daten könnten eine Goldgrube für andere Cyberkriminelle sein, die Phishing-, Identitätsdiebstahl- oder sogar Social-Engineering-Angriffe im grossen Stil durchführen wollen. Der Breach unterstreicht die weitreichenden Auswirkungen der Moveit-Schwachstelle und die damit verbundenen Risiken, wenn Sicherheitslücken nicht schnell geschlossen werden.
Dabei könnten die publik gemachten Daten auch erst die Spitze des Eisberges sein. "Was Sie bisher gesehen haben, sind weniger als 0,001% der Daten, die ich habe", behauptet der Nutzer und impliziert auch gleich eine Drohung: "Ich habe 1000 Veröffentlichungen, die noch nie zuvor gesehen wurden."
Amazon bestätigt Datenabfluss
In einer Erklärung gegenüber der amerikanischen Zeitschrift
'Techcrunch' bestätigte ein Amazon-Sprecher, dass Mitarbeiterinformationen des Unternehmens von einer Datenverletzung betroffen seien. Die Systeme seien zwar sicher, aber "wir wurden über ein Sicherheitsereignis bei einem unserer Drittanbieter benachrichtigt, das mehrere Kunden betraf."
Laut Amazon waren Kontaktinformationen der Mitarbeitenden, zum Beispiel E-Mail-Adressen, Telefonnummern und Gebäudestandorte betroffen. Wie viele Angestellte genau mit einer Veröffentlichung ihrer Daten rechnen müssen, wollte der Konzern jedoch nicht mitteilen.
Das Unternehmen wies darauf hin, dass der ungenannte Drittanbieter keinen Zugang zu sensiblen Daten wie Sozialversicherungsnummern oder Finanzinformationen hatte und sagte, dass der Anbieter die Sicherheitslücke, die für die Datenverletzung verantwortlich war, mittlerweile behoben habe.