zurück zum Artikel

Equifax soll frĂŒheren Hack verheimlicht haben

Daniel AJ Sokolov
Auf Stufen sitzendes MÀdchen schlÀgt die HÀnde vors Gesicht

(Bild: Alex Snaps CC BY 2.0)

Monate vor dem kolossalen Hack mit mehr als 143 Millionen Opfern soll Equifax bereits einmal gehackt worden sein. Derweil ermitteln US-Behörden wegen Insiderhandels gegen Equifax-Manager.

Es war der Jackpot fĂŒr Hacker: Von Mai bis 29. Juli haben sich Kriminelle an Daten des Credit Bureaus der USA Equifax bedient. Es gibt mehr als 143 Millionen Opfer [1], wie die Firma am 7. September eingestehen musste. Doch laut Bloomberg [2] gab es bereits im MĂ€rz einen weniger epochalen Hack, ĂŒben den Equifax zunĂ€chst nichts verlautbaren ließ.

Equifax-Logo

Firmenlogo

Auf Anfrage Bloombergs bestÀtigte Equifax den Einbruch von Anfang MÀrz. Dieser Vorfall hÀnge aber nicht mit dem Riesenhack zur Jahresmitte zusammen. Bloombergs Quellen sollen jedoch angegeben haben, dass dieselben TÀter am Werk gewesen seien. Nach beiden Hacks beauftragte Equifax die Firma Mandiant, eine Tochterfirma FireEyes, mit der Untersuchung.

Mandiant soll zunĂ€chst bis Mai tĂ€tig gewesen sein. Mitte Mai kamen die Hacker wieder. Sie nutzten eine SicherheitslĂŒcke in Apache Struts aus, fĂŒr die bereits seit MĂ€rz ein Patch zur VerfĂŒgung stand. Bloß hatte Equifax diesen Patch nicht installiert [3].

Username admin, Passwort admin

Welche Daten wievieler Kunden beim MĂ€rz-Hack betroffen waren, ist nicht bekannt. Es gibt Hinweise darauf, dass die Hacker damals versucht haben, ĂŒber Equifax bei Banken einzudringen. Die Angreifer sollen auch tatsĂ€chlich Username und Passwort fĂŒr die Schnittstelle (API) einer kanadischen Bank erbeutet haben.

Apropos Username und Passwort: Hold Security hat am Wochenende aufgedeckt, dass es keinerlei HackerkĂŒnste bedurfte [4], um ĂŒber die argentinische Equifax-Webseite fremde Daten abzurufen. Eine Webseite, ĂŒber die Mitarbeiter Einblick in die BonitĂ€tsdaten Dritter nehmen können, war ĂŒber das Internet abrufbar. Dem nicht genug, lautete der Username des Administratorzugangs (!) admin. Und das Passwort lautete – erraten – ebenfalls admin.

Mehr Infos

Lesen Sie auch:

Die Konten der normalen User folgten demnach einem Ă€hnlichen Schema. Der Username war stets der Nachname des Mitarbeiters, manchmal mit dem vorangestellten ersten Buchstaben des Vornamens. Das Passwort soll stets genau wie der Username gelautet haben. Über den Zugang waren alle Beschwerden argentinischer Verbraucher ĂŒber Fehler in ihren BonitĂ€tsdaten aus den letzten zehn Jahren abrufbar. Diese Akten sind speziell brisant, weil sie regelmĂ€ĂŸig besonders detaillierte private Angaben, darunter auch die argentinische IdentitĂ€tsnummer DNI, enthalten.

Verdacht des Insider-Handels

In den USA laufen nun mehrere Ermittlungen in Sachen Equifax: Bundesstaatsanwaltschaft und FBI ermitteln wegen des Hacks an sich. Zahlreiche Staatsanwaltschaften von Bundesstaaten untersuchen die Sicherheitsvorkehrungen und -prozesse bei Equifax. Dazu kommt eine lange Reihe individueller Klagen und Sammelklagen von Opfern.

John Gamble

Equifax' Finanzchef John Gamble

(Bild: Equifax)

Zudem laufen laut Bloomberg [9] strafrechtliche Ermittlungen gegen drei Equifax-Manager wegen Insiderhandels. Parallel forscht die Kapitalmarktbehörde SEC nach. Der Finanzchef, der Personalchef und der "President of US Information Solutions" hatten Ende Juli/Anfang August Aktienpakete abgestoßen – wenige Tage nachdem Equifax den kolossalen Hack entdeckt hatte [10], aber lange bevor die Öffentlichkeit am 7. September informiert wurde. Seither haben Equifax-Aktien mehr als ein Drittel ihres Wertes eingebĂŒĂŸt.

Laut Equifax sollen die drei MĂ€nner zum Zeitpunkt ihrer AktienverkĂ€ufe nichts von dem Hack gewusst haben. FĂŒr sie gilt die Unschuldsvermutung. Der Zeitpunkt ist aber so auffĂ€llig, dass mehr als ein Drittel aller US-Senatoren Untersuchungen wegen Insiderhandels gefordert hatten. Diese Ermittlungen erhalten durch den nun aufgedeckten frĂŒheren MĂ€rz-Hack zusĂ€tzliche Brisanz: Finanzchef John Gamble hat im Mai nĂ€mlich ein noch grĂ¶ĂŸeres Aktienpaket, fĂŒr 1,9 Millionen Dollar, verkauft.

New York will Aufsicht

Der Gouverneur des Staates New York, Andrew Cuomo, möchte Wirtschaftsauskunfteien wie Equifax in Zukunft unter Aufsicht stellen [11]. Wollen sie mit New Yorker US-Geldinstituten zusammenarbeiten, sollen sich Credit Bureaus ab 1. Februar 2018 jĂ€hrlich registrieren mĂŒssen.

Andrew Cuomo an Rednerpult

New Yorks Gouverneur Andrew Cuomo bei einer Demonstration

(Bild: New York)

Damit unterwĂŒrfen sie sich dem gleichen Regime wie andere Unternehmen der Finanzbranche. Dazu gehören umfangreiche Auflagen ĂŒber Compliance und IT-Sicherheit samt Schutz der Daten Dritter, der Nachweis von Kompetenz und VertrauenswĂŒrdigkeit der Firma und ihrer Manager, sowie ein Verbot "unfairer, irrefĂŒhrender oder rĂ€uberischer Machenschaften".

Bei VerstĂ¶ĂŸen gegen diese Bedingungen könnte die New Yorker Aufsichtsbehörde Department of Financial Services (DFS) die Registrierung verweigern beziehungsweise entziehen. Dann dĂŒrften sie nicht mehr mit in New York registrierten Geldinstituten zusammenarbeiten. Kein ernst zu nehmendes Credit Bureau könnte die New Yorker Regulierung umgehen, sind in dem Staat doch die wichtigsten US-Börsen und damit alle namhaften Banken tĂ€tig.

Bislang mĂŒssen sich Credit Bureaus laut New York Times nur in einem einzigen US-Staat registrieren, nĂ€mlich in Maine. Das dortige Regulierungsregime ist aber schon in die Jahre gekommen, so dass mit der Registrierung offenbar keine konkreten Auflagen bezĂŒglich IT-Sicherheit verbunden sind. (ds [12])

URL dieses Artikels:
https://www.heise.de/-3835052

Links in diesem Artikel:
[1] https://www.heise.de/news/Hacker-Jackpot-Credit-Bureau-Equifax-gehackt-3824607.html
[2] https://www.bloomberg.com/news/articles/2017-09-18/equifax-is-said-to-suffer-a-hack-earlier-than-the-date-disclosed
[3] https://www.heise.de/news/Equifax-Hack-Angreifer-ueber-Apache-Struts-Luecke-eingestiegen-3831905.html
[4] https://krebsonsecurity.com/2017/09/ayuda-help-equifax-has-my-data/
[5] https://www.heise.de/news/Hacker-Jackpot-Credit-Bureau-Equifax-gehackt-3824607.html
[6] https://www.heise.de/news/Nach-kolossalem-Hack-bei-Wirtschaftsauskunftei-Schiefe-Optik-bei-Equifax-3825891.html
[7] https://www.heise.de/news/Equifax-Hack-Angreifer-ueber-Apache-Struts-Luecke-eingestiegen-3831905.html
[8] https://www.heise.de/news/Equifax-schickt-nach-Datenklau-Fuehrungskraefte-in-den-Ruhestand-3834195.html
[9] https://www.bloomberg.com/news/articles/2017-09-18/equifax-stock-sales-said-to-be-focus-of-u-s-criminal-probe
[10] https://www.heise.de/news/Nach-kolossalem-Hack-bei-Wirtschaftsauskunftei-Schiefe-Optik-bei-Equifax-3825891.html
[11] https://www.governor.ny.gov/news/governor-cuomo-announces-new-actions-protect-new-yorkers-personal-information-wake-equifax
[12] mailto:ds@heise.de

Copyright © 2017 Heise Medien