MGM Resorts: Datenleck von 2019 weit größer als öffentlich bekannt
Im Darknet werden Daten von 142 Mio. Hotelgästen angeboten, die von der gehackten Datenleck-Plattform "Data Viper" stammen sollen. Deren Betreiber dementiert.
Das Casino-Hotel MGM Grand Las Vegas steht direkt am berühmten "Strip".
(Bild: Wikimedia Commons / CC BY-SA 1.0)
Im Februar 2020 landeten Daten von 10,6 Millionen Gästen der US-Hotelkette MGM Resorts, die Hacker wohl schon im Sommer 2019 abgegriffen hatten, in einem Untergrundforum. Nun wurde bekannt, dass die Menge der beim damaligen Angriff kopierten Daten wohl um ein Vielfaches höher war als MGM dies damals öffentlich zugab.
Wie unter anderem ZDNet berichtet, stehen auf einem Darknet-Marktplatz offenbar Daten von 142 Millionen Gästen der MGM Grand Hotels zum Verkauf. Enthalten sind laut Angebotstext vollständige Namen, Adressen, E-Mail, Telefonnummern und Geburtsdaten. Für die Datensätze verlangt der Darknet-Händler rund 2.900 US-Dollar.
Die Daten sollen laut Verkäufer von der Datenleck-Plattform "Data Viper" stammen, die kürzlich gehackt wurde. Deren Betreiber Vinny Troia bestritt gegenüber ZDNet einen Zusammenhang: Sein Unternehmen habe nie eine vollständige Kopie des MGM Datenlecks besessen.
MGM kannte das tatsächliche Ausmaß
Gegenüber ZDNet erklärte MGM Resorts, vom tatsächlichen Ausmaß des Datenlecks gewusst zu haben. Das Unternehmen wiederholte ansonsten jene Angaben, die es schon im Zuge der ersten Datenveröffentlichungen gemacht hatte: Man habe betroffene Gäste gemäß den Gesetzen der jeweiligen US-Bundesstaaten informiert. Allerdings verlangen diese allerdings mitunter gar nicht oder nur im Falle bestimmter Daten, dass Kunden über die Zugriffe in Kenntnis gesetzt werden.
Da MGM keine Angaben zur tatsächlichen Zahl der Betroffenen macht, ist zudem nicht auszuschließen, dass noch mehr Daten kompromittiert wurden.
Data Viper im Verdacht
Der Dienst Data Viper, von dem die Daten laut Verkäufer stammen sollen, ist eine verhältnismäßig neue Threat Intelligence Plattform, die, ähnlich wie Have I Been Pwned oder Am I Breached, geleakte Daten aus verschiedenen Quellen indexiert. Anders als die beiden erstgenannten bietet Data Viper aber keine Online-Prüffunktion für Privatpersonen, sondern richtet sich an Unternehmen und internationale Strafverfolgungsbehörden. Laut der Unternehmens-Website von Data Viper zählen etwa das FBI, Europol oder die Dubai Police zu den Kunden.
Am gestrigen Montag schilderte unter anderem IT-Sicherheitsblogger Brian Krebs in einem Blogeintrag, dass Data Viper nun selbst gehackt worden sei. Die Angreifer hätten nach eigenen Angaben sowohl die komplette Nutzerdatenbank des Dienstes als auch rund zwei Milliarden Datensätze aus verschiedenen Leaks erbeutet und planten nun, diese zu verkaufen. Zum Beweis veröffentlichten sie im Darkweb Ausschnitte aus den (angeblich) kopierten Datenbanken sowie Details zu Angriff und Data Viper-Interna.
Viper-Gründer Troia: "Nichts erbeutet"
Data Viper-Gründer Troia betätigte via Twitter zwar, dass ein Server gehackt worden sei; allerdings habe es sich dabei lediglich um einen alten Entwicklungsserver gehandelt. "Gestohlen" worden sei nichts, und bei den zum Kauf angebotenen Daten handle es sich um alte Leaks. Gegenüber Krebs sagte Troia, er vermute hinter den Vorgängen eine Art "präventiven Schlag" ein und derselben Gruppe gegen ihn und seine Firma, da er plane, die Identät eben dieser Hacker im Rahmen einer Keynote auf der SecureWorld Boston Virtual Conference zu enthüllen.
Damit bleibt zunächst ungeklärt, auf welchem Wege die MGM-Daten nun tatsächlich in die Hände der Darknet-Anbieter gelangt sind oder ob sie am Ende gar selbst hinter den Angriffen auf die Hotelkette stecken. (ovw)
