Ein Mann, der hinter einer Reihe von Cyberangriffen auf Unternehmen stecken soll, befindet sich Berichten zufolge in Kanada in Haft. Wie „Bloomberg“ am Montag berichtete, wurde der 26-jährige Alexander „Connor“ Moucka am 30. Oktober auf Ersuchen der USA von den Behörden aufgrund eines vorläufigen Haftbefehls festgenommen. Die Hacks richteten sich gegen Geschäftskunden von Snowflake, einem Cloud-Datenpartner von AT&T, Live Nation und anderen.
Die Hacks richteten sich gegen mehr als 100 Organisationen und führten zum Diebstahl von Millionen persönlicher Nutzerdaten. Neben AT&T und Ticketmaster waren auch Lending Tree, Advance Auto Parts und Neiman Marcus betroffen. AT&T weigerte sich, den Bericht zu kommentieren. Wir haben auch Live Nation kontaktiert, aber keine Antwort erhalten. (Wir werden diesen Bericht aktualisieren, wenn wir etwas hören).
Krebs on Security berichtete am Dienstag, dass Moucka in mehreren versiegelten Anklageschriften von US-Staatsanwälten und Bundesbehörden genannt wird. Der Verdächtige soll gestohlene Anmeldedaten aus Foren für Cyberkriminelle (und ähnlichen Orten) gestohlen und darauf gewettet haben, dass Kunden dieselben Anmeldedaten anderswo wiederverwenden. Anschließend soll er sich mit diesen Zugangsdaten Zugang zu den Konten der Snowflake-Kunden verschafft und diese mit der Drohung erpresst haben, die Daten in kriminellen Foren zu verkaufen, wenn sie nicht zahlten. AT&T soll dem Hacker 370.000 US-Dollar Lösegeld für die Löschung der Datensätze gezahlt haben.
Laut Krebs entsprachen die Online-Namen, die Moucka benutzte, denen eines „produktiven Cyberkriminellen“, der an der Schnittstelle zwischen „westlichen, englischsprachigen Cyberkriminellen und extremistischen Gruppen, die Minderjährige belästigen und erpressen, damit sie sich selbst oder anderen Schaden zufügen“ angesiedelt ist. Dem Bericht zufolge war Moucka Mitglied einer Hackergruppe namens „UNC5537“, zu der auch ein „schwer fassbarer“ Amerikaner namens John Erin Binns gehörte, der sich derzeit in der Türkei aufhält. Binns steckte hinter einem Hackerangriff auf T-Mobile im Jahr 2021, von dem mindestens 76,6 Millionen Kunden betroffen waren.
Snowflake warf seinen Geschäftskunden vor, keine Multi-Faktor-Authentifizierung eingerichtet zu haben. „Wir stehen vor einer großen Herausforderung in der Sicherheitsgemeinschaft und in den Unternehmen, weil viele Leute die Grundlagen nicht beherrschen“, sagte Brad Jones, Chief Information Security Officer von Snowflake, gegenüber Bloomberg. Aber das offensichtliche Versäumnis von Snowflake, Zwei-Faktor-Sicherheit vorzuschreiben, steht auf einer Stufe mit der Entscheidung seiner Kunden, dies nicht zu tun – insbesondere, da Millionen von Kundendaten auf dem Spiel stehen.
Warum haben AT&T und andere Unternehmen Snowflake so viele Kundendaten anvertraut? Der Mobilfunkbetreiber hat sich dazu nicht geäußert. Snowflake bietet Cloud-basierte Datenanalyse an. Im Juli gab AT&T bekannt, dass „fast alle“ seiner Kunden von dem Hack betroffen seien, was darauf hindeutet, dass fast alle Abonnenten ihre Daten von einem Cloud-Partner ihres Mobilfunkanbieters analysieren ließen. Insgesamt sollen 110 Millionen Kunden von AT&T betroffen sein.
Glücklicherweise gab AT&T an, dass der Angriff keine Inhalte von Anrufen oder Textnachrichten beinhaltete. Betroffen waren jedoch die Telefonnummern, mit denen jedes Konto interagierte, sowie eine Liste der Anrufe, Textnachrichten und Anrufdauer jedes Kunden. Auch die Standortkennungen der Funkzellen waren betroffen. Der Cybersicherheitsexperte Javvad Malik erklärte im Sommer gegenüber Engadget, dass letztere „die Triangulation der Standorte der Nutzer ermöglichen könnten“.
