US-Bank werden Daten von 100 Millionen Kunden entwendet

Angeklagt ist eine ehemalige Software-Entwicklerin von AWS, dem Cloud-Dienstleister der Bank. Wie sie eindrang und erwischt wurde, scheint klar.
 
Eine Hackerin hat Kreditkartendaten von gut 100 Millionen Kunden der US-Bank Capital One gestohlen. Die inzwischen von der Bundespolizei FBI festgenommene Frau verschaffte sich Zugang zu den Daten von Kreditkartenanträgen und existierenden Kreditkarten, wie die Bank mitteilte.
 
Demnach waren in den USA Daten von rund 100 Millionen Menschen betroffen, zudem von sechs Millionen Kunden in Kanada. Es seien aber keine Kreditkartennummern oder persönliche Log-in-Daten ausgespäht worden, hiess es weiter.
 
Laut US-Medienberichten dürfte es sich um einen der grössten Datendiebstähle bei Banken in der US-Geschichte handeln. Nach Informationen der 'New York Times' war die mutmassliche Täterin eine 33-jährige Software-Entwicklerin aus Seattle, die zuvor bei AWS arbeitete. Die Amazon-Tochter ist Cloud-Dienstleisterin der Bank. Wie Capital One betont, habe die entdeckte Schwachstelle jedoch nicht speziell an der Cloud-Umgebung gelegen.
 
Das FBI habe Spuren der Täterin in sozialen Netzwerken zurückverfolgen und sie schliesslich festnehmen können. In einer Strafanzeige ist die Rede davon, dass Beweise für die Täterschaft der ehemaligen AWS-Entwicklerin in ihrem GitHub-Konto gefunden worden seien. Da nutzte es auch nichts mehr, dass die Hackerin Tor und ein VPN von IPredator benutzt hatte, um ihre Spuren zu verwischen. Die Angeschuldigte erwartet laut 'Ars Technica' eine Strafe von maximal fünf Jahren Gefängnis und 250'000 Franken.
 
Schwachstelle Firewall
Nach bisherigen Erkenntnissen sei es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe, erklärte Capital One. Die Daten aus den Jahren 2005 bis 2019 umfassten unter anderem die Adressen, Telefonnummern, E-Mail-Adressen und Geburtsdaten von Kreditkartenkunden und Antragstellern. Zum Teil seien auch Informationen zur Kreditwürdigkeit, dem Verfügungslimit der Karten und Transaktionen in den Besitz der Hackerin gekommen, hiess es weiter.
 
Ein externer Spezialist für IT-Sicherheit hatte die Bank demnach am 17. Juli auf eine Schwachstelle in ihrem System hingewiesen. Zwei Tage später habe die Bank den gross angelegten Daten-Diebstahl festgestellt. Nach Informationen des Finanzdienstes 'Bloomberg' handelte es sich bei der Schwachstelle um eine falsch konfigurierte Firewall. Dadurch habe sich die Täterin in einem Administrations-Konto anmelden und auf die Bankdaten zugreifen können.
 
Die Panne werde Capital One im Lauf des Jahres etwa 100 bis 150 Millionen Dollar kosten, vor allem für Rechtskosten, Benachrichtigungen von Kunden und Umstellung der Technik, so 'Bloomberg'.
 
Equifax zahlt 700 Millionen Dollar
Der Fall erinnert an den massiven Datenklau bei der US-Wirtschaftsauskunftei Equifax vor rund zwei Jahren. Sensible Daten wie Sozialversicherungs- und Kreditkartennummern von rund 147 Millionen Menschen waren damals in fremde Hände gelangt.
 
Vor einer Woche hat sich Equifax in einem Vergleich mit der Verbraucherschutzbehörde FTC auf eine Zahlung von rund 700 Millionen Dollar geeinigt. Anders als in dem Fall von Capital One war dem Unternehmen allerdings massive Fahrlässigkeit in Sicherheitsbelangen vorgeworfen worden. (Keystone-sda/ts)