Equifax soll früheren Hack verheimlicht haben
Monate vor dem kolossalen Hack mit mehr als 143 Millionen Opfern soll Equifax bereits einmal gehackt worden sein. Derweil ermitteln US-Behörden wegen Insiderhandels gegen Equifax-Manager.
(Bild: Alex Snaps CC BY 2.0)
Es war der Jackpot für Hacker: Von Mai bis 29. Juli haben sich Kriminelle an Daten des Credit Bureaus der USA Equifax bedient. Es gibt mehr als 143 Millionen Opfer, wie die Firma am 7. September eingestehen musste. Doch laut Bloomberg gab es bereits im März einen weniger epochalen Hack, üben den Equifax zunächst nichts verlautbaren ließ.
Auf Anfrage Bloombergs bestätigte Equifax den Einbruch von Anfang März. Dieser Vorfall hänge aber nicht mit dem Riesenhack zur Jahresmitte zusammen. Bloombergs Quellen sollen jedoch angegeben haben, dass dieselben Täter am Werk gewesen seien. Nach beiden Hacks beauftragte Equifax die Firma Mandiant, eine Tochterfirma FireEyes, mit der Untersuchung.
Mandiant soll zunächst bis Mai tätig gewesen sein. Mitte Mai kamen die Hacker wieder. Sie nutzten eine Sicherheitslücke in Apache Struts aus, für die bereits seit März ein Patch zur Verfügung stand. Bloß hatte Equifax diesen Patch nicht installiert.
Username admin, Passwort admin
Welche Daten wievieler Kunden beim März-Hack betroffen waren, ist nicht bekannt. Es gibt Hinweise darauf, dass die Hacker damals versucht haben, über Equifax bei Banken einzudringen. Die Angreifer sollen auch tatsächlich Username und Passwort für die Schnittstelle (API) einer kanadischen Bank erbeutet haben.
Apropos Username und Passwort: Hold Security hat am Wochenende aufgedeckt, dass es keinerlei Hackerkünste bedurfte, um über die argentinische Equifax-Webseite fremde Daten abzurufen. Eine Webseite, über die Mitarbeiter Einblick in die Bonitätsdaten Dritter nehmen können, war über das Internet abrufbar. Dem nicht genug, lautete der Username des Administratorzugangs (!) admin. Und das Passwort lautete – erraten – ebenfalls admin.
Die Konten der normalen User folgten demnach einem ähnlichen Schema. Der Username war stets der Nachname des Mitarbeiters, manchmal mit dem vorangestellten ersten Buchstaben des Vornamens. Das Passwort soll stets genau wie der Username gelautet haben. Über den Zugang waren alle Beschwerden argentinischer Verbraucher über Fehler in ihren Bonitätsdaten aus den letzten zehn Jahren abrufbar. Diese Akten sind speziell brisant, weil sie regelmäßig besonders detaillierte private Angaben, darunter auch die argentinische Identitätsnummer DNI, enthalten.
Verdacht des Insider-Handels
In den USA laufen nun mehrere Ermittlungen in Sachen Equifax: Bundesstaatsanwaltschaft und FBI ermitteln wegen des Hacks an sich. Zahlreiche Staatsanwaltschaften von Bundesstaaten untersuchen die Sicherheitsvorkehrungen und -prozesse bei Equifax. Dazu kommt eine lange Reihe individueller Klagen und Sammelklagen von Opfern.
(Bild: Equifax)
Zudem laufen laut Bloomberg strafrechtliche Ermittlungen gegen drei Equifax-Manager wegen Insiderhandels. Parallel forscht die Kapitalmarktbehörde SEC nach. Der Finanzchef, der Personalchef und der "President of US Information Solutions" hatten Ende Juli/Anfang August Aktienpakete abgestoßen – wenige Tage nachdem Equifax den kolossalen Hack entdeckt hatte, aber lange bevor die Öffentlichkeit am 7. September informiert wurde. Seither haben Equifax-Aktien mehr als ein Drittel ihres Wertes eingebüßt.
Laut Equifax sollen die drei Männer zum Zeitpunkt ihrer Aktienverkäufe nichts von dem Hack gewusst haben. Für sie gilt die Unschuldsvermutung. Der Zeitpunkt ist aber so auffällig, dass mehr als ein Drittel aller US-Senatoren Untersuchungen wegen Insiderhandels gefordert hatten. Diese Ermittlungen erhalten durch den nun aufgedeckten früheren März-Hack zusätzliche Brisanz: Finanzchef John Gamble hat im Mai nämlich ein noch größeres Aktienpaket, für 1,9 Millionen Dollar, verkauft.
New York will Aufsicht
Der Gouverneur des Staates New York, Andrew Cuomo, möchte Wirtschaftsauskunfteien wie Equifax in Zukunft unter Aufsicht stellen. Wollen sie mit New Yorker US-Geldinstituten zusammenarbeiten, sollen sich Credit Bureaus ab 1. Februar 2018 jährlich registrieren müssen.
(Bild: New York)
Damit unterwürfen sie sich dem gleichen Regime wie andere Unternehmen der Finanzbranche. Dazu gehören umfangreiche Auflagen über Compliance und IT-Sicherheit samt Schutz der Daten Dritter, der Nachweis von Kompetenz und Vertrauenswürdigkeit der Firma und ihrer Manager, sowie ein Verbot "unfairer, irreführender oder räuberischer Machenschaften".
Bei Verstößen gegen diese Bedingungen könnte die New Yorker Aufsichtsbehörde Department of Financial Services (DFS) die Registrierung verweigern beziehungsweise entziehen. Dann dürften sie nicht mehr mit in New York registrierten Geldinstituten zusammenarbeiten. Kein ernst zu nehmendes Credit Bureau könnte die New Yorker Regulierung umgehen, sind in dem Staat doch die wichtigsten US-Börsen und damit alle namhaften Banken tätig.
Bislang müssen sich Credit Bureaus laut New York Times nur in einem einzigen US-Staat registrieren, nämlich in Maine. Das dortige Regulierungsregime ist aber schon in die Jahre gekommen, so dass mit der Registrierung offenbar keine konkreten Auflagen bezüglich IT-Sicherheit verbunden sind. (ds)
