So gelangte die Hackerin an die Credentials von Capital One

6. August 2019, 12:50
  • security
  • aws
  • cyberangriff
  • cloud
image

Der Diebstahl von 100 Millionen Bankkunden-Daten lief scheinbar nicht ganz so, wie bisher angenommen.

Der Diebstahl von 100 Millionen Bankkunden-Daten lief scheinbar nicht ganz so, wie bisher angenommen.
Letzte Woche war ein Datendiebstahl gigantischen Ausmasses bei der US-Bank Capital One bekannt geworden. Mutmasslich eine ehemalige Entwicklerin von AWS, dem Cloud-Dienstleister des Instituts, hatte Datensätze von über 100 Millionen Kunden entwendet.
Das 'Wall Street Journal' hat nun nach eigenem Bekunden hunderte von Online-Nachrichten der Verdächtigten ausgewertet und Interviews mit informierten Personen geführt. Der Befund: Die Informatikern habe eine Schwachstelle genutzt, vor der Security-Experten seit spätestens 2014 warnen. Sie habe in Internet-Foren damit geprahlt über diese Lücke auch auf eine ganze Reihe von Daten weiterer Unternehmen zugegriffen zu haben.
Laut 'Wall Street Journal' konnte die Hackerin durch eine falsch konfigurierte Firewall auf den Metadatenservice von AWS zugreifen. In diesem sind Credentials und weitere Daten gespeichert, die für die Verwaltung von Servern in der Cloud erforderlich sind. Mit diesen Informationen konnte die ehemalige AWS-Entwicklerin dann die Bankdaten von Capital One aus der Cloud herunterladen. Und dies ohne einen Alarm auszulösen. So erfolgte der Hack offenbar bereits am 12. März. Erst 127 Tage später wurde die Bank von einem externen Spezialisten gewarnt.
AWS betont in einer Erklärung, dass keiner der hauseigenen Dienste der Grund für den Datenklau war. Ausserdem biete man Monitoring-Tools, um solche Vorfälle zu erkennen. Capital One liess nun verlautbaren, dass die fehlerhafte Konfiguration behoben sei. Der Vorzeigekunde von AWS gilt laut 'Wall Street Journal' eigentlich als vorbildlich in Sachen Cloud-Security.
Ein Scan des Sicherheits-Forschers Brennon Thomas offenbarte im Februar über 800 Amazon-Konten, die einen Zugriff auf den Metadatendienst zuliessen. Der Rackspace-Angestellte betonte aber, dass ähnliche Probleme auch bei Systemen gefunden wurden, die in der Cloud von Microsoft laufen.
Eine detaillierte technische Analyse wurde auf dem Blog von CloudSploit, einem Anbieter von Open-Source-basierten Monitoring-Tools für die Cloud veröffentlicht. Dort finden sich auch Massnahmen, die gegen die Lücke helfen sollen. (ts)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022
image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werden, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022
image

Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen

Im 1. Teil unserer Artikelserie zeigen wir, wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.

Von publiziert am 18.5.2022