Capital One: Fand die Datendiebin neben der Bank weitere Opfer?

Der erfolgreiche Datendiebstahl bei der US-Bank Capital One kostet schon Stunden nach Bekanntwerdung viel Geld: Die Aktien der Bank fielen um 5,9 Prozent, weil die Anleger offenbar nicht überzeugt sind, dass der Verlust von Daten von über 100 Millionen Kunden nur begrenzte Auswirkungen haben werde.
 
Inzwischen zeigt sich der Datenabfluss etwas klarer. So traf die US-Bank, die laut Eigenaussagen wegen einer "falsch konfigurierten Firewall" bestohlen wurde, konkretere Massnahmen: "Unter anderem haben wir auch unser routinemässiges automatisiertes Scannen erweitert." Dies, da die Bank das Eindringen trotz offenbar korrekter Reports nicht erkannt hat, sondern von einem Aussenstehenden gewarnt werden musste.
 
Die Schuld am Debakel aber liege nicht bei AWS, dem Cloud-Provider der Bank. Dieser weist ebenfalls jede Mitverantwortung von sich. Die AWS-Cloud-Kunden könnten machen was sie wollten. 2015 hatte der Cloud-Gigant geworben mit der Aussage "Capital One wählt AWS wegen seines Security-Modells und der Fähigkeit, Infrastruktur bereitzustellen".
 
Amazon hat gleichzeitig immer betont, dass AWS seinen Kunden die volle "Verantwortung und Kontrolle" darüber gibt, wie sie persönliche oder sensible Informationen speichern und schützen. Der Gigant gibt auch an, "ausgefeilte technische und physische Kontrollen" anzubieten, die dazu dienen sollen, jeden unbefugten Zugriff zu bekämpfen.
 
Aufgrund der Vorkommnisse der letzten Zeit ist AWS aber in Erklärungszwang, da immer wieder falsch konfigurierte Buckets von AWS-Kunden auftauchen. Der aktuellste Fall betrifft Attunity, eine Daten-Managementfirma und Tochter von Qlik, den die Security-Firma Upguard entdeckte. Genauer gesagt drei öffentlich zugängliche Amazon S3-Buckets im Zusammenhang mit Attunity. "Einer davon enthielt eine grosse Sammlung von internen Geschäftsdokumenten. Die Gesamtgrösse ist ungewiss, aber der Forscher hat eine Stichprobe von etwa einem Terabyte Grösse heruntergeladen, darunter 750 Gigabyte komprimierte E-Mail-Backups. Backups der OneDrive-Konten der Mitarbeiter waren ebenfalls vorhanden und umfassten viele Informationen, die die Mitarbeiter für ihre Arbeit benötigen: E-Mail-Korrespondenz, Systempasswörter, Kontaktinformationen für Vertrieb und Marketing, Projektspezifikationen und vieles mehr", so die Mitteilung der Firma.
 
Spezialisiert auf diese Lücken hat sich Chris Vickery, Director of Cyber Risk Research bei UpGuard. Er erklärte 'Newsweek', es fehle eine wichtige Detailinformation zum Datendiebstahl bei Capital One: Es geht darum, ob die beschuldigte Informatikerin, eine vormalige AWS-Angestellte, "initial privilegierte Informationen oder Zugangsdaten verwendet hat oder nicht", sagte Vickery. "Solange wir die Antwort darauf nicht kennen, gibt es viele Möglichkeiten, wie die Wahrheit aussehen könnte."
 
Eine Täterin und 5 weitere Opfer?
Eventuell könnte die beschuldigte Informatikerin auch die Security weiterer Firmen überwunden haben, meldet 'CNN'. In sichergestellten Slack-Kommunikationen, die von der Angeklagten stammen sollen, nenne sie neben Capitol One auch die Namen Vodafone, Infoblox, Ford, das Transportministerium des Staats Ohio und die Michigan State University.
 
Auf Anfrage von 'CNN' sagten die Firmen und Organisationen, sie hätten bis anhin kein Eindringen feststellen können, aber würden dies untersuchen. (mag)