Datenabfälle: Eine lukrative Nische

Druckfreundlich, PDF & E-Mail

Der Internet-Sicherheitsforscher Rajshekhar Rajaharia deckte kürzlich mehrere neue große Datenschutzverletzungen durch denselben Kriminellen auf, der auch für den Datenschutzverstoß bei Juspay verantwortlich war. Rajaharia ist der Forscher, der herausfand und darüber berichtete, dass Juspay, eine Zahlungsverarbeitungsfirma für Unternehmen wie Amazon, Uber, Swiggy und MakeMyTrip, im August 2020 kompromittiert wurde. Die Datenschutzverletzung betraf die Daten von 35 Millionen Kunden, darunter ihre Benutzernamen, Kartentypen, die ausstellenden Banken, die Ablaufdaten und teilweise sichtbare Kartennummern. Juspay gab an, dass die Daten nicht für Transaktionen genutzt werden könnten und das Unternehmen nötige Schritte zur Erhöhung der Sicherheit unternommen habe.

 

Die von Rajaharia enthüllten Vorfälle betreffen außerdem Chqbook, BigBasket und weitere Unternehmen. All diese Datenbanken enthalten Informationen, die bis August 2020 zurückreichen, und die Daten standen im Dark Web zum Verkauf.  Rajaharia konnte nachweisen, dass einige dieser geleakten Daten authentisch sind.

Eine lukrative Nische für Kriminelle

Datenschutzverletzungen und Data Dumps sind nichts Neues. Die erste große Datenschutzverletzung wurde 2004 gemeldet, als ein Mitarbeiter von America Online (AOL) die Benutzernamen, Postleitzahlen, Telefonnummern und Kreditkartentypen von 92 Millionen Kunden stahl. In diesem Fall wurden die Daten allerdings nicht direkt geleakt, sondern zunächst an einen Spammer verkauft, der sie dann mehrfach an andere Spammer weiterverkaufte. Die Daten wurden schließlich an einen Informanten verkauft, woraufhin zwei der Spammer gemäß dem damals neu eingeführten Anti-Spam-Gesetz der USA strafrechtlich verfolgt wurden. Der AOL-Vorfall hat kriminellen Hackern und Spammern einiges deutlich gemacht: 

  • Die Strafverfolgungsbehörden nehmen das Thema Cyberkriminalität ernst
  • Daten können mehrfach zu Geld gemacht werden, bevor sie an Wert verlieren

Der Aufstieg des weltweiten Dark Web war hinsichtlich beider Punkte vorteilhaft für Kriminelle. Sie können nicht so einfach identifiziert werden, ihre Geschäfte können einer anderen Gerichtsbarkeit zugeordnet werden und der Marktplatz für Kriminelle erleichtert es ihnen, potenzielle Käufer zu erreichen und mit diesen zu verhandeln. Die Daten des Juspay-Data-Dump wurden für 8.000 US-Dollar angeboten und schließlich für 5.000 US-Dollar verkauft.

Der Wert von Teildatensätzen

Aktuelle Datensätze, die E-Mail-Adressen, Passwörter und andere sensible personenbezogene Informationen enthalten, werden immer von Wert für Kriminelle sein. Die Juspay-Daten sind jedoch mehrere Monate alt und umfassen keine Passwörter. Die Datensätze können nicht für Einkäufe verwendet werden, weil der Großteil der Kreditkarteninformationen mit einer Hashfunktion versehen ist. Wieso sollte dann jemand 5.000 US-Dollar dafür zahlen?

Auch auf diese Frage hat Rajshekhar Rajaharia eine Antwort für uns: „Wenn die Hashwerte der Karten entschlüsselt werden, selbst wenn dies erst in zwei Jahren gelingt, können diese Daten im Dark Web veröffentlicht werden.“ Dazu kann es durch Brute-Force-Angriffe oder ein Leak durch einen unvorsichtigen oder verärgerten Mitarbeiter von Juspay kommen.

Darüber hinaus können Teildatensätze aus mehreren Data Dumps kombiniert werden, wodurch Kriminelle Namen und E-Mail-Adressen eines Data Dump den Anmeldedaten eines anderen zuordnen können. So können vollständige Datensätzen entstehen. Die Datensätze müssen nur ein Feld gemeinsam haben, damit Hacker sie erfolgreich anderen Informationen zuordnen können.  Ein IBM-Bericht von 2019 besagt, dass Datenschutzverletzungen durchschnittlich 25.575 Datensätze umfassen. Selbst wenn nur die Hälfte der Daten eines durchschnittlichen Data Dump richtig zugeordnet werden kann, so laufen Tausende Benutzer Gefahr, dass ihre Benutzernamen, Zahlungsinformationen und andere sensible Daten kompromittiert werden.  Ein solcher Zugang kann Personen über Jahre hinweg schaden, da die personenbezogenen Daten über einen langen Zeitraum verwendet und an neue Kriminelle weiterverkauft werden.

Betrachtung aus Unternehmenssicht

Kein Unternehmen möchte Opfer einer Datenschutzverletzung werden. Sie sind äußerst peinlich und schädlich für die Beziehungen zu Kunden, Lieferanten und Mitarbeitern. Zudem sind sie sehr kostspielig, wenn man die Behebung, Ausfallzeiten, Compliance-Kosten und Geschäftseinbußen durch das verlorene Vertrauen in Ihre Marke seitens zukünftiger Kunden berücksichtigt. Dieser Vertrauensverlust kann mit der Zeit immer größer werden, da die gestohlenen Daten Ihres Unternehmens im Zuge bestimmter Angriffe auch zum Diebstahl von Daten anderer Unternehmen genutzt werden können. Ein bekanntes Beispiel hierfür ist die Datenschutzverletzung bei Target, die dadurch möglich war, dass Angreifer Zugangsdaten von Fazio Mechanical Services, dem Klimatechnik-Dienstleister von Target, stehlen konnten. Diese Zugangsdaten wurden für den Zugriff auf eine Webanwendung im internen Netzwerk von Target eingesetzt. Auf diese Weise erhielten Kriminelle Zugang zu den POS-Systemen und Daten von Target.

Der Data Breach Investigations Report 2020 von Verizon listet acht Handlungen auf, die zu Datenschutzverletzungen führen:

Quelle: Data Breach Investigations Report 2020 von Verizon
Phishing-Angriffe und gestohlene Zugangsdaten stellen weiterhin die zwei größten Bedrohungen dar, aber vier weitere Bedrohungen sind auf dem Vormarsch:
  • Fehlsendungen: Menschlicher Fehler, der dazu führt, dass Daten an den falschen Empfänger gesendet werden
  • Fehlkonfiguration: Kompromittierung von mit dem Internet verbundenen Assets, da sie nicht ordnungsgemäß gesichert wurden
  • Passwort-Dumper: Malware-Typ, der verschlüsselte Passwörter von einem Host-Computer extrahiert
  • Ransomware: Malware-Typ, bei dem Dateien verschlüsselt werden und dann Geld gefordert wird, um sie wieder zu entschlüsseln

Ihre Daten schützen

Die größten Angriffe auf sensible Daten zielen auf mehrere Bedrohungsvektoren ab. IT-Teams müssen sichergehen, dass diese Bedrohungsvektoren innerhalb des Unternehmens stets vor Angriffen geschützt sind. Die Lösungen von Barracuda schützen gegen Netzwerk-, Anwendungs- und E-Mail-Angriffe und sorgen dafür, dass Unternehmensdaten jederzeit sicher sind – lokal oder in der Cloud. Viele unserer Produkte stehen auf dem Azure Marketplace und dem AWS Marketplace zur Verfügung und alle Produkte können 30 Tage lang kostenlos getestet werden.   

Nach oben scrollen
Twittern
Teilen
Teilen