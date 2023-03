Medien berichten, dass ein Cyberkrimineller beim Backup-Spezialisten Acronis eingebrochen sei und Daten kopiert habe. Bei näherer Betrachtung ist das lediglich die halbe Wahrheit: Der Angreifer konnte an Zugangsdaten eines Kunden gelangen und dessen Daten kopieren. Das ist eher nicht als Datenleck bei Acronis einzustufen, sondern als Folge der Preisgabe von Zugangsdaten etwa bei einem Phishing-Angriff auf den betroffenen Kunden zu betrachten.

Der Cyber-Einbrecher brüstet sich im Untergrundforum mit einem Einbruch bei Acronis. Es handelt sich jedoch um Daten aus einem einzelnen Kundenkonto, an dessen Zugangsdaten er gelangte. (Bild: Screenshot)

Der Datendieb gibt an, dass in dem rund 12,2 GByte großen Archiv diverse Zertifikat-Dateien zu finden seien, Log-Dateien, Konfigurationen, Archive von Dateisystemen, Python-Skripte zu einer MariaDB, Sicherungen von "Konfigurationszeugs" und zahlreiche Screenshots von Backup-Operationen. Er verhöhnt zudem Acronis und die Sicherheitsmaßnahmen: "Sie haben auch eine beschissene Sicherheit mit dem Slogan All-in-one Cyber Protection. Ziemlich ironisch lol".

Acronis-Einbruch: Änderung der Einschätzung

Wenige Minuten vor dem Meldungszeitpunkt hat der Cyberkriminelle den Forenpost noch um die Einschätzung ergänzt: "In all honesty, the leak is minor and it isn't really interesting. But hey, a breach is a breach" – es handele sich um einen minderschweren Leak, der nicht wirklich spannend sei; aber hey, ein Leak sei ein Leak.

Acronis hat auf Anfrage gegenüber heise online erklärt, dass das Unternehmen das Forum-Posting eine Stunde nach Veröffentlichung entdeckt habe. Für den Zugang zu den Servern habe der Angreifer echte Zugangsdaten eines Kunden verwendet. Den Untersuchungen durch das Unternehmen zufolge ist der Einbrecher über nicht-Acronis-Systeme an das Passwort gelangt.

Acronis: Keine Sicherheitslücken missbraucht

Weiter erläuterte Acronis in der Stellungnahme, dass keine Schwachstellen bei diesem Angriff missbraucht wurden. Es seien auch keine sensiblen Daten betroffen, auch keine persönlich identifizierbaren Informationen involviert. Die Daten, die abgeflossen sind, habe der Kunde zuvor dem Support von Acronis verfügbar gemacht. Die Untersuchungen würden jedoch fortgesetzt.

Während es sich bei dem vermeintlichen Acronis-Datenleck lediglich um einen Einbruch in ein Kundenkonto handelt, fließen bei anderen Angriffen tatsächlich sensible Unternehmensdaten ab. Derselbe Cyberkriminelle, kernelware, hatte erst Anfang dieser Woche bei Acer erfolgreich einen Cyberangriff starten und 160 GByte an sensiblen Daten kopieren können. Diese bot er in Untergrundforen zum Verkauf an, bis das entsprechende Posting gelöscht wurde.

(dmk)