DNA-Analyseunternehmen zeigt, was man vor und nach einer Datenschutzverletzung nicht tun sollte

Anfang Oktober 2023 wurde ein führender DNA-Analyseanbieter Opfer eines klassischen Credential-Stuffing-Angriffs. Sie erinnern sich vielleicht, dass ein Credential-Stuffing-Angriff auftritt, wenn ein Bedrohungsakteur versucht, sich mit Zugangsdatensätzen, die bei einem anderen Angriff kompromittiert wurden, bei einem System anzumelden. Diese Art von Angriff gibt es schon lange, weil sie immer wieder funktioniert. Jede Person, die dasselbe Passwort für mehrere Konten verwendet, trägt potenziell zu dieser Art von Angriff bei.

Bei dem betreffenden Angriff sollen etwa 14.000 Benutzerkonten kompromittiert worden sein. Über diese 14.000 Konten gelangten die Angreifer an sensible Informationen über etwa 6,9 Millionen Personen, die die optionalen Sharing-Funktionen der Plattform nutzten. Diese Zahl repräsentiert fast die Hälfte des Kundenstamms des Unternehmens. Zu den durch den Verstoß offengelegten Daten gehörten Namen, Geburtsdaten, Beziehungen und DNA-Prozentsätze zu anderen sowie Informationen zur Abstammung und zum Standort.

Es scheint mindestens zwei Angriffe auf das Unternehmen gegeben zu haben, beginnend im August 2023, als ein Hacker in einem Cybercrime-Forum 300 Terabyte an Daten zum Verkauf anbot. Der Bedrohungsakteur „Golem“ bekannte sich im Oktober zu dem Angriff und veröffentlichte mehrere Datensätze in einem separaten Forum. TechCrunch hat beide Datensätze untersucht und übereinstimmende Einträge gefunden.

Reaktion des Unternehmens

Schritt eins: Das Unternehmen steht an erster Stelle.

Schon seit langer Zeit verwenden Menschen Passwörter wieder, weil es mühsam ist, sich Dutzende oder Hunderte von Passwörtern zu merken. Viele Unternehmen sind diesen Angriffen zum Opfer gefallen, darunter PayPal, Chick-fil-A, Norton und Disney+. Letzte Woche verlor der Telekommunikationsriese Orange Spain die Kontrolle über 50 % seines Datenverkehrs, als sich ein Bedrohungsakteur Zugang zum regionalen Internetregister verschaffte, das seine IP-Adressen verwaltet. Das Register namens RIPE ist ein häufiges Ziel von Credential-Stuffing-Angriffen, da seine Passwortsicherheit sehr gering ist. Credential-Stuffing-Angriffe sind weit verbreitet, und sie werden so lange verbreitet sein, bis jeder eine Verteidigung gegen sie hat oder wir das Passwortproblem gelöst haben.

Ungewöhnlich ist, dass die erste Reaktion des DNA-Unternehmens darin bestand, seine Nutzungsbedingungen zu ändern, um die obligatorische Schiedsklausel zu umgehen. Kurz gesagt: Das Unternehmen hat die AGB von der obligatorischen Schiedsgerichtsbarkeit zur obligatorischen INDIVIDUELLEN Schiedsgerichtsbarkeit geändert. Dies soll verhindern, dass einzelne Opfer gegen das Unternehmen zusammenarbeiten. Auszug aus den überarbeiteten Nutzungsbedingungen:

„… wenn Sie von einem Anwalt vertreten werden, kann Ihr Anwalt an der Konferenz teilnehmen, Sie werden jedoch auch an der Konferenz teilnehmen. Die Konferenz wird so individualisiert, dass jedes Mal, wenn eine Partei einen Streitfall einleitet, eine separate Konferenz abgehalten werden muss, auch wenn dieselbe Anwaltskanzlei oder Gruppe von Anwaltskanzleien mehrere Nutzer in ähnlichen Fällen vertritt, es sei denn, alle Parteien stimmen zu; mehrere Personen, die einen Streitfall einleiten, können nicht an derselben Konferenz teilnehmen, es sei denn, alle Parteien stimmen zu.“

(Hervorhebung von mir)

Eine Datenschutzverletzung ist für die individuellen Opfer, deren Daten offengelegt wurden, schlimm genug. Alle Unternehmen bemühen sich nach einem Angriff um Schadensbegrenzung, aber die meisten zeigen auch ein gewisses Maß an Empathie für die individuellen Opfer. Im Gegensatz dazu machte dieses Unternehmen die Sache für die Opfer nur schwieriger, mühsamer und unangenehmer. Das ist ein eklatanter Versuch, die Anzahl der Klagen gegen das Unternehmen zu begrenzen, und das macht alles nur noch schlimmer für die Menschen, die durch den Verstoß zu Schaden gekommen sind. Trotz alledem hat dieses Vorgehen nicht dazu beigetragen, die Flut an Klagen zu stoppen, die gegen das Unternehmen eingereicht wurden.

Schritt zwei: Den Opfern die Schuld geben.

Viel interessanter und etwas hinterhältig ist der Schritt des Unternehmens, seine Kunden direkt für die Sicherheitsverletzung verantwortlich zu machen.  

„… die Benutzer haben dieselben Benutzernamen und Passwörter verwendet, die bereits Gegenstand früherer Sicherheitsverletzungen waren, und die Benutzer haben ihre Passwörter nach diesen früheren Sicherheitsvorfällen fahrlässig wiederverwendet und nicht geändert.“

Dies war ein Auszug aus einer schriftlichen Antwort auf eine von den individuellen Opfern eingereichte Sammelklage. Es ist nicht ungewöhnlich, dass ein Unternehmen sich selbst schützt, doch es ist ungewöhnlich, auf so konkrete Weise mit dem Finger direkt auf die Opfer zu zeigen. Sie können den Brief hier und den Blogbeitrag hier lesen. In beiden Dokumenten heißt es, an die Opfer gerichtet: „Das hätten Sie nicht tun sollen, also ist es nicht unsere Schuld.“ Victim Blaming vom Feinsten.

Jeder, bei dem Passwörter zum Einsatz kommen, weiß, dass viele Menschen ihre Passwörter wiederverwenden. Aus diesem Grund gibt es einen Markt für Unternehmen wie Keeper, Dashlane und Have I Been Pwned (HIBP). Deshalb ist Identitätsmanagement ein milliardenschweres Geschäft. Es gibt einfach keine Entschuldigung dafür, dass ein Unternehmen, das Hunderte von Millionen Dollar wert ist, eines der grundlegendsten Probleme der IT-Sicherheit NICHT entschärft.

Das gemeinsame Sicherheitsmodell, über das wir in den letzten Jahren in Bezug auf AWS und Azure gesprochen haben, gilt nicht nur für Public-Cloud-Anbieter. Alle Unternehmen sind dafür verantwortlich, angemessene Sicherheitsmaßnahmen in ihre Authentifizierungsprozesse einzubeziehen. Das kann etwas so Einfaches sein wie das Hinzufügen einer Multi-Faktor-Authentifizierung (MFA), die Verwendung von Einmal-Passwörtern oder das Senden von geheimen Links (Magic Links) an eine E-Mail-Adresse des Benutzers. Um die Methode der geheimen Links zu veranschaulichen, schauen wir uns die Kommunikationsplattform Slack an. Wenn ein Benutzer versucht, sich bei Slack anzumelden, erhält der Benutzer einen Bestätigungslink (Magic Link) auf seine registrierte E-Mail-Adresse. Der Benutzer benötigt kein Passwort für Slack, wenn er Zugriff auf sein eigenes registriertes E-Mail-Konto hat. Dies schützt das Slack-Konto vor Credential-Stuffing-Angriffen und macht es einem Benutzer, der unter Passwortmüdigkeit leidet, deutlich einfacher.

Für die Kunden dieses Unternehmens gab es keinen zusätzlichen Schutz. Selbst eine einfache Integration mit HIBP oder einem ähnlichen Anbieter hätte einen Benutzer beim Erstellen des Kontos oder beim späteren Einloggen warnen können: „Ihr Passwort wurde gehackt. Bitte verwenden Sie dieses Passwort nicht wieder.“ Besonders ungeheuerlich angesichts der Art von sensiblen Daten, die sie besitzen.

„Die Entscheidung, den Opfern die Schuld zu geben, hat negative Schlagzeilen geschürt; zudem hat man sich dadurch der Verantwortung entzogen und kein Mitgefühl gegenüber den Betroffenen zum Ausdruck gebracht. Auch wenn dies wahrscheinlich stark von der Rechtsabteilung des Unternehmens vorangetrieben wurde, wird der Ton des Briefes die Kunden wahrscheinlich verärgern und zu Gegenreaktionen führen. Letztendlich weiß der Durchschnittsbürger in vielen Fällen nicht, dass sein Passwort an anderer Stelle kompromittiert wurde. Ein Unternehmen muss sicherstellen, dass seine Sicherheitsmaßnahmen robust genug sind, um das Risiko für den Endbenutzer zu minimieren. Das Risiko öffentlich herunterzuspielen und die Schuld von sich zu weisen, ist zweifellos schlechte PR.“ ~ Yvonne Eskenzi, zitiert in The Register

Schritt drei: Andere dumme Dinge.

Das Unternehmen machte sich erneut über die Opfer lustig, indem es behauptete, dass die gestohlenen Daten keinen Schaden anrichten könnten. Es handelt sich um DNA-Daten, was diese Aussage sowohl lächerlich als auch persönlich beleidigend macht. Kurz nach dem ersten Verstoß bot der Bedrohungsakteur an, Folgendes zu verkaufen: „1 Million Datenpunkte ausschließlich über aschkenasische Juden“, Daten über Menschen chinesischer Abstammung und andere Daten, die Benutzer als „weitgehend europäisch“ oder „weitgehend arabisch“ identifizieren. Diese Daten können sicherlich von Hassgruppen als Waffe eingesetzt werden, und es ist unverantwortlich, zu sagen, dass das Leck keinen Schaden anrichten kann.

Hier gibt es auch andere Probleme, einschließlich der Tatsache, dass die Benutzeraktivität nicht verfolgt wurde. Anwendungssicherheit verwendet Metriken wie Benutzer-Login-Metadaten, Benutzerverhalten, besuchte Seiten usw. Mithilfe dieser Daten können Sicherheitstools und -teams normales und anormales Verhalten erkennen. In diesem Fall wurden nur 14.000 von einigen Millionen Konten kompromittiert, aber die Anomalien hätten wahrscheinlich auf einen möglichen Angriff aufmerksam gemacht. Ein frühzeitiges Erkennen des Angriffs hätte die Zahl der individuellen Opfer reduziert, da der Angreifer nicht die Zeit gehabt hätte, so viele Daten zu stehlen. Alles muss überwacht und verstanden werden, sodass Sicherheitsteams Erkennungstechniken entwickeln und diese Angriffe verhindern können.  

Wie kann man diese Angriffe verhindern?

Credential-Stuffing-Angriffe gibt es schon seit jeher und sie werden nur noch schlimmer werden, da den Bedrohungsakteuren immer neuere und größere Datenbankauszüge zur Verfügung gestellt werden. Eine der besten Möglichkeiten, dies zu verhindern, ist die Integration eines Drittanbieters wie HIBP oder der Schutz von Barracuda Application Protection, der die Erstellung von Konten mit kompromittierten Passwörtern erkennen und blockieren kann.

Es müssen jedoch auch andere Mechanismen vorhanden sein, insbesondere wenn mehrere Dienste miteinander kommunizieren. Bei diesem Verstoß stellten die 14.000 gehackten Konten einen Pfad zu den Daten mehrerer Millionen Benutzer dar.  Diese Art von System benötigt eine Zero-Trust- oder andere Schutzbeziehung, bei der der Zugriff auf Daten kontrolliert, verfolgt und bei Erkennung anomaler Verhaltensweisen blockiert wird.

Barracuda Application Protection beinhaltet Privileged Account Protection, das die Muster eingehender Kontoanmeldungen und Kontoänderungen überwacht und lernt. Diese Funktion benachrichtigt Sicherheitsteams, wenn anomales Verhalten erkannt wird. Die Teams können diese Verhaltensweisen dann überprüfen und die Ursache untersuchen. Auf diese Weise können Sie niedrige und langsame Angriffe wie diesen Credential-Stuffing-Verstoß identifizieren und blockieren.

Angreifer sind nicht dumm. Sie greifen nicht mit einem einzelnen Bot oder einem einzelnen Benutzer an, der einen Passwort-Dump durchführt und von einer einzelnen IP-Adresse aus angreift. Diese Angriffe erfolgen automatisiert und werden über Zehntausende Geräte und Zehntausende IP-Adressen ausgeführt. Sie benötigen daher einen robusten Schutz gegen Credential Stuffing und andere Anwendungsangriffe.

Der Schutz Ihrer Benutzer ist für jedes Unternehmen immer äußerst wichtig, wahrscheinlich wichtiger als alles andere. Wenn in Ihrem Unternehmen Benutzerdaten gestohlen oder offengelegt werden, drohen Ihnen hohe Bußgelder und andere behördliche Strafen. Es kann zu kostspieligen Gerichtsverfahren kommen, die sich über viele Jahre hinziehen. Nach einer Datenschutzverletzung sind der Ruf Ihrer Marke und Ihr zukünftiges Geschäft gefährdet. Das wissen Sie wahrscheinlich schon … Aber das DNA-Unternehmen wusste es auch.

Der Schutz der Zugangsdaten von Benutzern ist eine gemeinsame Verantwortung. Der Teil dieser Verantwortung des Unternehmens besteht darin, die Angriffsfläche für Sicherheitsverletzungen so weit wie möglich zu reduzieren. Das bedeutet, MFA durchzusetzen, auf Anomalien zu achten und einen Mechanismus zu implementieren, der Konten zum Zeitpunkt der Erstellung und bei allen Anmeldeversuchen danach vor kompromittierten Zugangsdaten schützt. Dies sind nur einige der vielen Schritte, die Sie unternehmen können, um Ihre Kunden und Ihr Unternehmen zu schützen. Dies liegt in der Verantwortung des Unternehmens. Unter keinen Umständen sollte ein Unternehmen Best Practices ignorieren und dann die Opfer bestrafen, wenn es von einem Verstoß betroffen ist.