Menü

Capital One: Hackerin prahlt mit Bank-Hack mit 100 Millionen Betroffenen

Das FBI hat eine Frau angeklagt, die damit geprahlt haben soll, eine Bank gehackt zu haben. Es gibt 100 Millionen Betroffene in den USA, 6 Millionen in Kanada.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 148 Beiträge

Vorankündigung der Eröffnung eines Bank-Cafés im Vorjahr der nun gehackten Bank Capital One

(Bild: Phillip Pessar CC BY 2.0 )

Von

Die US-Bank Capital One Financial Corp. wurde gehackt. Dadurch sind Daten über rund 100 Millionen Personen in den USA und sechs Millionen in Kanada in falsche Hände gelangt. Es ist einer der größten Hacks in der Geschichte der nordamerikanischen Finanzbranche.

Eine Fehlkonfiguration einer Firewall hat den Hack im März ermöglicht, ohne dass er aufgefallen wäre. Eine Programmiererin aus Seattle soll später online mit der Tat geprahlt und einschlägige Dateien auf GitHub gestellt haben. Am 17. Juli informierte jemand die Bank, am Montag wurde die Frau verhaftet und angeklagt.

Die Beschuldigte dürfte wiederholt psychologische Betreuung gesucht haben. Das ergibt sich aus einer Terminvereinbarungs-Mitteilung, die die Frau ebenfalls auf GitHub gestellt hat. Das Motiv für diese intime Veröffentlichung ist ebenso unklar wie das Motiv für das angelastete Eindringen in die Cloud der Bank. Für die Angeklagte gilt die Unschuldsvermutung.

Der größte Teil der abgegriffenen Daten enthält laut Capital One Informationen aus Anträgen von Verbrauchern und kleinen Unternehmen aus den Jahren 2005 bis 2019 auf Kreditkarten: Namen, Adressen, Telefonnummern, E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen. Teilweise gesellten sich noch Bonitätsbewertungen, Kreditrahmen, Kontostand, Zahlungsverhalten, und weitere Kontaktdaten hinzu, sowie die Umsätze von insgesamt 23 Tagen aus verschiedenen Jahren.

Capital-One-Logo in New York City

(Bild: Tdorante10 CC BY-SA 4.0 )

Besonders ungemütlich ist die Sache für eine Million Kanadier und etwa 140.000 US-Amerikaner, deren Sozialversicherungsnummern kompromittiert wurden. Hinzu kommen 80.000 Kunden mit schlechter Bonität, deren Kontonummern verraten wurden. Die Bank entschuldigt sich bei ihren Kunden und bedankt sich beim FBI für die schnelle Lösung des Falls.

Die war möglich, weil die Angeklagte erstaunlich offen mit der ihr angelasteten Tat geprahlt haben dürfte. Zwar soll sie die Bankserver unter Verwendung des TOR-Netzes beziehungsweise eines schwedischen VPN geknackt habe. Später soll sie aber unter Verwendung desselben VPN einschlägige Befehle und eine umfangreiche Ordnerliste der Bank auf GitHub veröffentlicht haben – unter ihrem Klarnamen.

Auf Slack hat ein User unter dem Pseudonym "erratic" mit der Tat geprahlt, Hacks anderer Firmen und öffentlicher Einrichtungen angedeutet, und die Veröffentlichung der Capital-One-Daten angekündigt. Bei Twitter und Meetup hat das FBI jeweils ein Konto mit dem Usernamen "erratic" gefunden, das den Klarnamen der Angeklagten trägt.

Dieser in der Anklageschrift enthaltene Screenshot zeigt eine Slack-Unterhaltung, die das FBI der Angeklagten zuordnet.

(Bild: Anklageschrift)

Hinzu kamen verräterische Online-Postings unter ihrem Klarnamen, darunter eine Frage zu einer bei Capital One erbeuteten Datei. Ein ebenfalls online geposteter Tierarzt-Kostenvoranschlag mit passender Rechnungsadresse verschaffte dem FBI dann Gewissheit, die richtige Frau gefunden zu haben.

Die Angeklagte war vor einigen Jahren bei Amazon beschäftigt und hat laut ihrem Lebenslauf damals am Load Balancing für S3 gearbeitet. Amazon verweist darauf, dass die Fehlkonfiguration nicht in der Cloud-Infrastruktur Amazons, sondern in der dort von der Bank installierten Software passiert ist.

Megahack Equifax' war "absolut vermeidbar"

Firmenlogo

Der Hack Equifax' war absolut vermeidbar, schließt ein Untersuchungsbericht des US-Kongresses. Es war der bislang größte Hack der US-Finanzbranche.

mehr anzeigen

Capital One ist insbesondere im Kreditkartengeschäft tätig und der fünftgrößte Kreditkartenherausgeber in den USA. Das Unternehmen schätzt die im laufenden Jahr anfallenden Folgekosten des Hacks auf bis zu 150 Millionen US-Dollar, ist aber für bestimmte Aufwendungen versichert.

Das FBI hat bei einer Hausdurchsuchung in der Wohnung der Angeklagten diverse elektronische Geräte sichergestellt. Deren Auswertung dauert noch an. Die Anklage enthält aktuell nur einen Anklagepunkt. Im Falle einer Verurteilung drohen dabei zuvor Unbescholtenen bis zu fünf Jahre Haft. Allerdings führen fortlaufende Ermittlungen oft zu zusätzlichen Anklagepunkten. Das Gerichtsverfahren ist am US-Bundesbezirksgericht für den Westen des US-Staates Washington unter dem Az. 2:19-mj-00344 anhängig.

(ds)