Capital One-Hack: Analyse zeigt, dass Vodafone, Ford und UniCredit Ziele sind

Laut CyberInt könnte der Datenklau bei der US-Bank Capital One (wir berichteten/ 106 Millionen betroffene Kunden) erst der Anfang einer Reihe von Datendiebstählen bei anderen Organisationen sein. Möglicherweise gehören dazu der britische Telefonanbieter Vodafone, der US-amerikanische Autohersteller Ford und der weltweit agierende Bank- und Finanzdienstleister UniCredit aus Italien.

Die Cyber-Sicherheitsfirma CyberInt aus Israel hat den Vorfall untersucht. Demzufolge versuchte der mutmaßlich für den Datenklau bei Capital One verantwortliche Angreifer, seine Identität und IP-Adresse durch eine Verbindung zu ‘IPredator’, einem virtuellen privaten Netzwerk (VPN) aus Schweden mittels dem ‘Tor’-Anonymisierungsnetzwerk zu verschleiern. Das Konto ‘ISRM-WAF-Webrole’ wurde kompromittiert, möglicherweise durch eine Schwachstelle der Sicherheitskonfiguration, um Zugriff auf die Cloud-Infrastruktur von Capital One zu gewinnen, die bei Amazon Web Services (AWS) gehostet ist.

CyberInt hat Screenshots und Beiträge entdeckt, die vom mutmaßlichen Angreifer versendet wurden und nahelegen, dass andere Organisationen möglicherweise ebenfalls durch ähnliche Techniken betroffen sind; dazu gehören Vodafone, Ford, UniCredit, die Michigan State University und das Verkehrsministerium in Ohio.

Laut Aussage des leitenden Forschers Jason Hill bei CyberInt: “könnte der Datendiebstahl bei Capital One erst die Spitze eines Eisbergs sein, da Organisationen weltweit weiterhin cloud-basierte Dienste nutzen, was Cyber-Kriminelle und andere Angreifer bemerkt haben und scharf darauf sind, Schwachstellen und Fehlkonfigurationen auszunutzen, um Zugriff auf potenziell sensible und wertvolle Daten zu gewinnen.”

Organisationen, die Cloud-Dienste wie Amazon S3 nutzen, sollten sofort sicherstellen, dass ihre Systeme richtig konfiguriert sind, um versehentlichen oder unbefugten Zugriff auf sensible Daten zu verhindern. Weiterhin sollten Nutzer von Cloud-Diensten ihre Installationen überprüfen und sicherstellen, dass Zugriffsrechte und Privilegien richtig konfiguriert sind. Zusätzlich zur Protokollierung der Aktivitäten bei Cloud-Diensten sollten diese Protokolle regelmäßig überwacht werden, damit Vorfälle wie der kürzliche Datendiebstahl bei Capital One erkannt werden und in Echtzeit darauf reagiert werden kann, anstatt erst nachträglich.”

Jason Hill, leitender Forscher bei CyberInt

Die Datenpanne bei Capital One gilt als eine der größten in der Bankgeschichte. Capital One bemerkte den massiven Datendiebstahl erst nach einer entsprechenden E-Mail, die über potenziell offengelegte Daten auf einem GitHub-Konto warnte, das mit dem mutmaßlichen Angreifer in Verbindung steht.

Der Datendiebstahl wird die Capital One Financial Corporation kurzfristig bis zu 150 Millionen US-Dollar kosten, einschließlich Zahlungen zur Kredit-Überwachung für betroffene Kunden. Mögliche Image-Schäden und dementsprechend verringertes Vertrauen der Kunden sind natürlich schwerer abzuschätzen.

Organisationen, die zu Cloud-Diensten wechseln, sollten die Nutzung von digitalen Risikoabsicherungen wie My Digital Presence von CyberInt erwägen, welche eine automatisierte Erkennung und Überwachung digitaler Assets einschließlich Cloud-Speichern bereitstellen und jene erkennen, die noch ‘offen’ oder im Risiko sind.”

Der kurze Bericht von CyberInt zur Datenpanne bei Capital One enthält weitere Informationen zum Ablauf des Hacker-Angriffs und ist hier nach Angabe von Kontaktdaten erhältlich.pp