Security-Programm des FBI für kritische Infrastruktur gehackt

15. Dezember 2022, 10:37
image
Screenshot der Infragard-Website.

Persönliche Informationen von Topshots aus "Infragard" werden im Darkweb angeboten. Ein Unbekannter konnte sehr einfach in das System eindringen.

Das FBI will die kritische Infrastruktur der USA vor Cyberangriffen schützen und wurde dabei selbst gehackt. Derzeit werden im Darkweb persönliche Daten aus dem Programm Infragard angeboten. In diesem tauschen sich Betreiber und Besitzer kritischer Infrastruktur mit dem FBI und hochrangigen IT-Security-Experten über Fragen der Sicherheit aus. Das Motto des Projekts: "Connect to Protect", wer Mitglied werden will, muss sich einem Security-Assessment des FBI unterziehen… zumindest offiziell.
50'000 Dollar sollen die Daten von zehntausenden Infragard-Mitglieder kosten, berichtet der Security-Forscher Brian Krebs. Der Preis entspricht aber kaum den schlechten Sicherheitsmassnahmen des Programms. Der Hacker "USDoD" konnte dort dem Bericht zufolge mit zuvor erbeuteten Angaben eines CEOs eine Mitgliedschaft erschleichen. Er stellte mit dessen Name, Geburtsdatum, Sozialversicherungsnummer und weiteren persönlichen Angaben einen Antrag, der prompt gutgeheissen wurde, ohne besondere FBI-Abklärungen. Der betroffene CEO soll noch nicht mal von Beamten kontaktiert worden sein.
Erstmal im System reichte ein simples Python-Skript, um über eine Programmier-Schnittstelle die persönlichen Daten der hochrangigen Personen abzuziehen. Um zu beweisen, dass er noch immer im Netz ist, verschickte der Hacker laut dem Bericht Nachrichten an einige Mitglieder, deren Daten er erbeutet hatte. Eine riesige Blamage für das FBI, das den Fall derzeit untersucht.
Unter den Informationen befinden sich aber keine sensiblen Informationen wie Sozialversicherungsnummer oder Geburtsdatum. Bei rund der Hälfte der sicherheitsbewussten Teilnehmer sollen auch die E-Mail-Adressen fehlen. So ist fraglich, ob sie überhaupt 50'000 Dollar erzielen können. Gegenüber Brian Krebs sagte der Hacker, er habe den Preis als Verhandlungsbasis angesetzt. Er verwendet neben dem Namen "USDoD" auch das Logo des US-Verteidigungsministerium. Ein rein finanzieller Antrieb ist also unwahrscheinlich.

Loading

Mehr zum Thema

image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023
image

US-Flugchaos: Flugaufsicht ändert Umgang mit IT

Nach der Computerpanne im US-amerikanischen Flugverkehr nimmt die Flugaufsichtsbehörde FAA nun Änderungen an der Datenbank vor.

publiziert am 31.1.2023
image

EU und USA wollen Zusammenarbeit bei KI intensivieren

Eine Vereinbarung wurde unterzeichnet. Auch im Bereich der KI-Forschung soll verstärkt kooperiert werden.

publiziert am 30.1.2023