Datenabfälle: Eine lukrative Nische

Der Internet-Sicherheitsexperte Rajshekhar Rajaharia deckte vor Kurzem mehrere Datenschutzverletzungen auf, die von demselben Kriminellen verursacht wurden, der auch für den Datenschutzverstoß bei Juspay verantwortlich war. Rajaharia ist jener Experte, der herausfand und darüber berichtete, dass Juspay, eine Zahlungsverarbeitungsfirma für Unternehmen wie Amazon, Uber, Swiggy und MakeMyTrip, im August 2020 kompromittiert wurde. Die Datenschutzverletzung betraf die Daten von 35 Millionen Kunden, darunter Benutzernamen, Kartentypen, die ausstellenden Banken, Ablaufdaten und teilweise sichtbare Kartennummern, neben anderen Details. Juspay meldet, dass die Daten nicht für Transaktionen verwendet werden können und das Unternehmen ergriff Maßnahmen, um die Security zu verbessern.

Daten von 100 Millionen indischen Karteninhabern vom @juspay-Server geleakt, darunter Namen, Telefonnummern und Banknamen. Die Daten stehen im Dark Web zum Kauf zur Verfügung.
Die ganze Geschichte – https://t.co/WczIrFeLel #Infosec #DataLeak #DataBreach #Infosecurity #CyberSecurity #DSGVO #DataSecurity #Banken #CreditCard #Datenschutz pic.twitter.com/X1KYcP8WSh

– Rajshekhar Rajaharia (@rajaharia) 3. Januar 2021

https://www.chqbook.com/

Die von Rajaharia enthüllten Vorfälle betreffen außerdem Chqbook, BigBasket und weitere Unternehmen. All diese Datenbanken enthalten Informationen bis August 2020, und die Daten standen im Dark Web zum Verkauf.  Rajaharia konnte überprüfen, ob einige der durchgesickerten Daten authentisch sind.

Derselbe Hacker, der zuvor Daten aus der @Juspay-Datenbank verkauft hatte, verkauft jetzt Daten aus Datenbanken weiterer indischer Unternehmen im Dark Web. @clickindia – 8 Mio. @chqbook – 1 Mio. @wedmegood – 1,3 Mio. Derselbe Hacker verkauft auch Daten von @bigbasket_com. Es könnte eine enge Verbindung zwischen diesen letzten Datenlecks geben. #InfoSec #DataLeak #DSGVO pic.twitter.com/zs0mA7NjLR

– Rajshekhar Rajaharia (@rajaharia) 6. Januar 2021

{1}

Eine lukrative Nische für Kriminelle

Datenschutzverletzungen und Data Dumps sind nichts Neues. Die erste große Datenschutzverletzung wurde 2004 gemeldet, als ein Mitarbeiter von America Online (AOL) die Benutzernamen, Postleitzahlen, Telefonnummern und Kreditkartentypen von 92 Millionen Kunden stahl. In diesem Fall wurden die Daten allerdings nicht direkt geleakt, sondern zunächst an einen Spammer verkauft, der sie dann mehrfach an andere Spammer weiterverkaufte. Die Daten wurden schließlich an einen Informanten verkauft, woraufhin zwei der Spammer gemäß dem damals neu eingeführten Anti-Spam-Gesetz der USA strafrechtlich verfolgt wurden. Der AOL-Vorfall hat kriminellen Hackern und Spammern einiges deutlich gemacht:

• Die Strafverfolgungsbehörden nehmen das Thema Cyberkriminalität ernst


• Daten können mehrfach zu Geld gemacht werden, bevor sie an Wert verlieren

Der Aufstieg des weltweiten Dark Web war hinsichtlich beider Punkte vorteilhaft für Kriminelle. Sie können nicht so einfach identifiziert werden, ihre Geschäfte können einer anderen Gerichtsbarkeit zugeordnet werden und der Marktplatz für Kriminelle erleichtert es ihnen, potenzielle Käufer zu erreichen und mit diesen zu verhandeln. Die Daten des Juspay-Datendump wurde für 8.000 Dollar angeboten und schließlich für 5.000 Dollar verkauft.

Der Wert von Teildatensätzen

Aktuelle Datensätze, die E-Mail-Adressen, Passwörter und andere sensible personenbezogene Informationen enthalten, werden immer von Wert für Kriminelle sein. Die Juspay-Daten sind jedoch mehrere Monate alt und umfassen keine Passwörter. Die Datensätze können nicht für Einkäufe verwendet werden, weil der Großteil der Kreditkarteninformationen mit einer Hashfunktion versehen ist. Warum sollte jemand 5.000 Dollar für das Datenset bezahlen?

Auch auf diese Frage hat Rajshekhar Rajaharia eine Antwort für uns: „Wenn die Hashwerte der Karten entschlüsselt werden, selbst wenn dies erst in zwei Jahren gelingt, können diese Daten im Dark Web veröffentlicht werden.“ Dazu kann es durch Brute-Force-Angriffe oder ein Leak durch einen unvorsichtigen oder verärgerten Mitarbeiter von Juspay kommen.

Darüber hinaus können Teildatensätze aus mehreren Data Dumps kombiniert werden, wodurch Kriminelle Namen und E-Mail-Adressen eines Data Dump den Zugangsdaten eines anderen zuordnen können. So können vollständige Datensätzen entstehen. Die Datensätze müssen nur ein Feld gemeinsam haben, damit Hacker sie erfolgreich anderen Informationen zuordnen können.  Ein IBM-Bericht von 2019 besagt, dass Datenschutzverletzungen durchschnittlich 25.575 Datensätze umfassen. Selbst wenn nur die Hälfte der Daten eines durchschnittlichen Data Dump richtig zugeordnet werden kann, so laufen Tausende Benutzer Gefahr, dass ihre Benutzernamen, Zahlungsinformationen und andere sensible Daten kompromittiert werden.  Ein solcher Zugang kann Personen über Jahre hinweg schaden, da die personenbezogenen Daten über einen langen Zeitraum verwendet und an neue Kriminelle weiterverkauft werden.

Betrachtung aus Unternehmenssicht

Kein Unternehmen möchte Opfer einer Datenschutzverletzung werden. Sie sind äußerst peinlich und schädlich für die Beziehungen zu Kunden, Lieferanten und Mitarbeitern. Zudem sind sie sehr kostspielig, wenn man die Behebung, Ausfallzeiten, Compliance-Kosten und Geschäftseinbußen durch das verlorene Vertrauen in Ihre Unternehmensmarke seitens zukünftiger Kunden berücksichtigt. Dieser Vertrauensverlust kann mit der Zeit immer größer werden, da die gestohlenen Daten Ihres Unternehmens im Zuge bestimmter Angriffe auch zum Diebstahl von Daten anderer Unternehmen genutzt werden können. Ein bekanntes Beispiel hierfür ist die Datenschutzverletzung bei Target, die dadurch möglich war, dass Angreifer Zugangsdaten von Fazio Mechanical Services, dem Klimatechnik-Dienstleister von Target, stehlen konnten. Diese Zugangsdaten wurden für den Zugriff auf eine Webanwendung im internen Netzwerk von Target eingesetzt. Auf diese Weise erhielten Kriminelle Zugang zu den POS-Systemen und Daten von Target.Der Data Breach Investigations Report 2020 von Verizon listet acht Handlungen auf, die zu Datenschutzverletzungen führen:

Quelle: 2020 Verizon Data Breach Investigations ReportPhishing-Angriffe und gestohlene Zugangsdaten stellen weiterhin die zwei größten Bedrohungen dar, aber vier weitere Bedrohungen sind auf dem Vormarsch:

• Fehlsendungen: Menschlicher Fehler, der dazu führt, dass Daten an den falschen Empfänger gesendet werden


• Fehlkonfiguration: Kompromittierung von mit dem Internet verbundenen Assets, da sie nicht ordnungsgemäß gesichert wurden


• Passwort-Dumper: Malware-Typ, der verschlüsselte Passwörter von einem Host-Computer extrahiert


• Ransomware: Malware-Typ, bei dem Dateien verschlüsselt werden und dann Geld gefordert wird, um sie wieder zu entschlüsseln

Ihre Daten schützen

Die größten Angriffe auf sensible Daten zielen auf mehrere Bedrohungsvektoren ab. IT-Teams müssen sichergehen, dass diese Bedrohungsvektoren innerhalb des Unternehmens stets vor Angriffen geschützt sind. Die Lösungen von Barracuda schützen gegen Netzwerk-, Anwendungs- und E-Mail-Angriffe und sorgen dafür, dass Unternehmensdaten jederzeit sicher sind – lokal oder in der Cloud. Viele unserer Produkte stehen auf dem Azure Marketplace und dem AWS Marketplace zur Verfügung und alle Produkte können 30 Tage lang kostenlos getestet werden.