Das FBI will die kritische Infrastruktur der USA vor Cyberangriffen schützen und wurde dabei selbst gehackt. Derzeit werden im Darkweb persönliche Daten aus dem Programm Infragard angeboten. In diesem tauschen sich Betreiber und Besitzer kritischer Infrastruktur mit dem FBI und hochrangigen IT-Security-Experten über Fragen der Sicherheit aus. Das Motto des Projekts: "Connect to Protect", wer Mitglied werden will, muss sich einem Security-Assessment des FBI unterziehen… zumindest offiziell.
50'000 Dollar sollen die Daten von zehntausenden Infragard-Mitglieder kosten, berichtet der Security-Forscher Brian Krebs. Der Preis entspricht aber kaum den schlechten Sicherheitsmassnahmen des Programms. Der Hacker "USDoD" konnte dort dem Bericht zufolge mit zuvor erbeuteten Angaben eines CEOs eine Mitgliedschaft erschleichen. Er stellte mit dessen Name, Geburtsdatum, Sozialversicherungsnummer und weiteren persönlichen Angaben einen Antrag, der prompt gutgeheissen wurde, ohne besondere FBI-Abklärungen. Der betroffene CEO soll noch nicht mal von Beamten kontaktiert worden sein.
Erstmal im System reichte ein simples Python-Skript, um über eine Programmier-Schnittstelle die persönlichen Daten der hochrangigen Personen abzuziehen. Um zu beweisen, dass er noch immer im Netz ist, verschickte der Hacker laut dem Bericht Nachrichten an einige Mitglieder, deren Daten er erbeutet hatte. Eine riesige Blamage für das FBI, das den Fall derzeit untersucht.
Unter den Informationen befinden sich aber keine sensiblen Informationen wie Sozialversicherungsnummer oder Geburtsdatum. Bei rund der Hälfte der sicherheitsbewussten Teilnehmer sollen auch die E-Mail-Adressen fehlen. So ist fraglich, ob sie überhaupt 50'000 Dollar erzielen können. Gegenüber
Brian Krebs sagte der Hacker, er habe den Preis als Verhandlungsbasis angesetzt. Er verwendet neben dem Namen "USDoD" auch das Logo des US-Verteidigungsministerium. Ein rein finanzieller Antrieb ist also unwahrscheinlich.