MOVEit Transfer: Gestohlene Daten von Amazon und Co. stehen zum Verkauf

Im digitalen Untergrund stehen Daten von Angestellten großer und namhafter Unternehmen zum Kauf. Betroffen sind unter anderem Amazon, HP, HSBC, Lenovo und weitere.

Die Daten hat der User-Account "Nam3l3ss" am Wochenende im Breachforum eingestellt. Das hat das IT-Sicherheitsunternehmen Hudson Rock zuerst auf X gemeldet. Dort stießen die Beobachter der Malware-Szene von vx-underground auf die Datenveröffentlichung.

Der oder die bösartigen Akteure hinter dem "Nam3l3ss"-Konto bieten in dem Untergrundforum Daten von Angestellten von möglicherweise mehr als tausend weiteren Unternehmen an, davon zig große und nahmafte. vx-underground listet unter anderem die Unternehmen 3M, Amazon, Applied Materials (AMAT), British Telecom (BT), Canada Post, Cardinal Health, City National Bank (CNB), Delta Airlines, Fidelity, HP, HSBC, Leidos, Lenovo, McDonald’s , TIAA, Union Bank of Switzerland (UBS), U.S. Bank und Westinghouse auf.

Die Sicherheitsexperten von vx-underground haben bestätigt, dass Amazon und HSBC kompromittiert wurden. Anhand der begutachteten Daten lässt sich herleiten, dass die Daten von rund um den 31. Mai 2023 stammen. Das schreibt "Nam3l3ss" aber auch offen im "Angebot" im Datenhehlerforum. Die Daten scheinen keine Kundeninformationen zu enthalten. Etwa die Amazon-Daten umfassen dem Untergrundforeneintrag zufolge Namen, Kostenstellennummern, Personalnummern, Kostenstellen, Telefonnummern, E-Mail-Adressen, Job-Bezeichnung, Stadt, Informationen zu Vorgesetzten und Ähnliches. Amazon teilte heise online hierzu mit, dass die Daten bei einer Hausverwaltungsfirma entwendet wurden und auch weitere derer Kunden betraf und die Sicherheitslücke dort bereits geschlossen wurde.

Angestelltendaten erhöhen Spear-Phishing-Risiko

Die Daten weisen demnach eher HR- oder Buchhaltungsbezug auf, seien also nicht "missionskritisch". Da sie jedoch Firmeninterna wie Angestellte, Gebäudepläne oder Kosten exponieren, stellen sie eine Gefahr dar. Etwa für gezieltes Spear-Phishing können Angreifer diese Informationen missbrauchen, um schneller das Vertrauen ihrer Opfer zu erschleichen.

Es bleibt unklar, wie "Nam3l3ss" an die Daten gelangt ist. Etwa im Kontext der Amazon-Datensätze erwähnt der Account die Ransomware-Gang Cl0p, die die MOVEit-Transfer-Sicherheitslücken zu dem genannten Zeitraum im großen Stil zum Datendiebstahl bei zahlreichen Firmen missbraucht hat.

Anfang Juni vergangenen Jahres wurde bekannt, dass Angreifer Daten über eine MOVEit-Transfer-Schwachstelle ausleiteten. Erste Updates standen dort zur Verfügung, es brauchte aber mehrere Anläufe, um die Lücke korrekt abzudichten. Eine Cybergang mit dem Namen Cl0p hat dadurch bei vielen Unternehmen umfangreich Daten abgezogen. Darunter große und namhafte wie EY, PWC, Schneider Electric oder Siemens Energy.

(dmk)