Hackerin in USA stiehlt Daten von gut 100 Millionen Bankkunden

Eine Hackerin hat Daten von gut 100 Millionen Kunden der US-Bank Capital One gestohlen. Die inzwischen von der Bundespolizei FBI festgenommene Frau verschaffte sich Zugang zu den Daten von Kreditkartenanträgen und existierenden Kreditkarten, wie die Bank am Montagabend (Ortszeit) mitteilte.

Demnach waren in den USA Daten von rund 100 Millionen Menschen betroffen, zudem von 6 Millionen Kunden in Kanada. Es seien aber keine Kreditkartennummern oder persönliche Log-in-Daten ausgespäht worden, hiess es weiter.

Laut US-Medienberichten dürfte es sich um einen der grössten Datendiebstahls-Angriffe auf Banken in der US-Geschichte handeln. Die Spur, die das FBI nun zur mutmasslichen Täterin führte, legte die Hackerin dabei offenbar selbst.

Ex-Amazon-Mitarbeiterin

Nach Informationen der «New York Times» handelt es sich um eine Software-Entwicklerin aus Seattle, die einst bei Amazon Web Services, dem Cloud-Dienstleister der Bank, gearbeitet hatte. Wie Capital One betont, habe die entdeckte Schwachstelle jedoch nicht speziell an der Cloud-Umgebung gelegen.

Das FBI hat laut Finanzdienst «Bloomberg» die digitalen Spuren der Täterin in sozialen Netzwerken relativ leicht zurückverfolgen und sie schliesslich festnehmen können. Demnach war sie unter anderem auf Twitter in einer Hacker-Community aktiv und unterhielt sich dort auch über Datensätze verschiedener Unternehmen, darunter die von Capital One.

Sie habe zwar auf verschiedene Sicherheits-Werkzeuge verwiesen, mit denen sie ihre digitalen Spuren verwischen könne. Die Bundesbehörden hätten jedoch ein leichtes Spiel gehabt, ihre Identität festzustellen, einschliesslich des Namens auf ihrer Seite auf dem inzwischen zu Microsoft gehörenden Entwickler-Netzwerk GitHub.

Daten offenbar nicht betrügerisch eingesetzt

Nach bisherigen Erkenntnissen sei es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe, erklärte Capital One. Die Daten aus den Jahren 2005 bis 2019 umfassten unter anderem die Adressen, Telefonnummern, E-Mail-Adressen und Geburtsdaten von Kreditkartenkunden und Antragstellern.

Zum Teil seien auch Informationen zur Kreditwürdigkeit, dem Verfügungslimit der Karten und Transaktionen in den Besitz der Hackerin gekommen, hiess es weiter.

Ein externer Spezialist für IT-Sicherheit hatte die Bank demnach am 17. Juli auf eine Schwachstelle in ihrem System hingewiesen. Zwei Tage später habe die Bank den gross angelegten Daten-Diebstahl festgestellt. Nach Informationen des Finanzdienstes Bloomberg handelte es sich bei der Schwachstelle um eine falsch konfigurierte Firewall - «eines der grundlegendsten digitalen Sicherheitswerkzeuge».

Über 100 Millionen an Kosten

Die Panne werde Capital One rund 100 bis 150 Millionen Dollar kosten, vor allem für Rechtskosten, Benachrichtigungen von Kunden und Umstellung der Technik.