So gelangte die Hackerin an die Credentials von Capital One

Der Diebstahl von 100 Millionen Bankkunden-Daten lief scheinbar nicht ganz so, wie bisher angenommen.
 
Letzte Woche war ein Datendiebstahl gigantischen Ausmasses bei der US-Bank Capital One bekannt geworden. Mutmasslich eine ehemalige Entwicklerin von AWS, dem Cloud-Dienstleister des Instituts, hatte Datensätze von über 100 Millionen Kunden entwendet.
 
Das 'Wall Street Journal' hat nun nach eigenem Bekunden hunderte von Online-Nachrichten der Verdächtigten ausgewertet und Interviews mit informierten Personen geführt. Der Befund: Die Informatikern habe eine Schwachstelle genutzt, vor der Security-Experten seit spätestens 2014 warnen. Sie habe in Internet-Foren damit geprahlt über diese Lücke auch auf eine ganze Reihe von Daten weiterer Unternehmen zugegriffen zu haben.
 
Laut 'Wall Street Journal' konnte die Hackerin durch eine falsch konfigurierte Firewall auf den Metadatenservice von AWS zugreifen. In diesem sind Credentials und weitere Daten gespeichert, die für die Verwaltung von Servern in der Cloud erforderlich sind. Mit diesen Informationen konnte die ehemalige AWS-Entwicklerin dann die Bankdaten von Capital One aus der Cloud herunterladen. Und dies ohne einen Alarm auszulösen. So erfolgte der Hack offenbar bereits am 12. März. Erst 127 Tage später wurde die Bank von einem externen Spezialisten gewarnt.
 
AWS betont in einer Erklärung, dass keiner der hauseigenen Dienste der Grund für den Datenklau war. Ausserdem biete man Monitoring-Tools, um solche Vorfälle zu erkennen. Capital One liess nun verlautbaren, dass die fehlerhafte Konfiguration behoben sei. Der Vorzeigekunde von AWS gilt laut 'Wall Street Journal' eigentlich als vorbildlich in Sachen Cloud-Security.
 
Ein Scan des Sicherheits-Forschers Brennon Thomas offenbarte im Februar über 800 Amazon-Konten, die einen Zugriff auf den Metadatendienst zuliessen. Der Rackspace-Angestellte betonte aber, dass ähnliche Probleme auch bei Systemen gefunden wurden, die in der Cloud von Microsoft laufen.
 
Eine detaillierte technische Analyse wurde auf dem Blog von CloudSploit, einem Anbieter von Open-Source-basierten Monitoring-Tools für die Cloud veröffentlicht. Dort finden sich auch Massnahmen, die gegen die Lücke helfen sollen. (ts)