• IT-Karriere:
  • Services:

Capital One: Über 100 Millionen Kunden von Banken-Hack betroffen

Die US-Bank Capital One wurde durch einen "Konfigurationsfehler" bei einem Cloud-Anbieter gehackt. Sensible Daten von Millionen Bankkunden sind betroffen. Durch den Tipp eines Github-Nutzers konnte eine Verdächtige festgenommen werden.

Artikel veröffentlicht am ,
Hat seine Kundendaten nicht im Griff: Capital One
Hat seine Kundendaten nicht im Griff: Capital One (Bild: Johannes Eisele/AFP/Getty Images)

Die US-Bank Capital One wurde durch eine "Konfigurationsschwachstelle" bei einem nicht genannten Cloudanbieter gehackt, wie die Bank in einer Stellungnahme schreibt. Insgesamt konnten die Daten von über 100 Millionen Kunden kopiert werden. Eine Verdächtige wurde bereits festgenommen.

Stellenmarkt
  1. Stiftung Hospital zum heiligen Geist, Frankfurt am Main
  2. TenneT TSO GmbH, Bayreuth, Lehrte/Ahlten

Die Verdächtige soll Informationen über den Hack auf Github veröffentlicht haben, schreibt das US-Justizministerium. Bei der 33-Jährigen soll es sich um eine ehemalige Mitarbeiterin von AWS (Amazon Webservices) handeln. Ein Github-Nutzer sah den Post am 17. Juli 2019 und meldete Capital One ein potenzielles Datenleck. Zwei Tage später verifizierte die Bank das Datenleck und schaltete das FBI ein, welches die Verdächtige identifizierte und verhaftete. Auf beschlagnahmten Datenträgern fanden die Ermittler zudem eine Kopie der Capital-One-Daten.

Umfangreicher Datenfundus

Die angebliche Hackerin soll durch eine falsch konfigurierte Web Application Firewall Zugriff auf die Daten von mehr als 100 Millionen US-Kunden der Bank erhalten haben. Zudem seien sechs Millionen Kanadier betroffen. Bei einem Großteil der Daten handelt es sich laut Capital One um Kreditkartenanträge aus den vergangenen zehn Jahren. Dies beinhalte die bei derlei Anträgen "routinemäßig" gesammelten Daten, "einschließlich Namen, Adressen, Postleitzahlen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und selbst gemeldetes Einkommen", erklärt die Bank in einer Stellungnahme. Bei über einer Million der Kunden sei zudem die Sozialversicherungsnummer kompromittiert worden, bei 80.000 zudem die mit einer Kreditkarte verknüpfte Kontonummer.

Auch Kundenstatusdaten, darunter Kreditwürdigkeit-Scores, Kreditlimit, Guthaben, Zahlungsverhalten sowie Kontaktdaten seien betroffen. Auch "Fragmente von Transaktionsdaten aus insgesamt 23 Tagen in den Jahren 2016, 2017 und 2018" seien in dem Datenleck, heißt es in der Stellungnahme.

Angreifer können die Daten beispielsweise zum Identitätsdiebstahl oder für Social-Engineering-Angriffe verwenden. Die Bank kündigte an, die Betroffenen auf verschiedenen Wegen informieren zu wollen sowie einen Schutz vor Identitätsdiebstahl anzubieten. Wie dieser sicherstellen soll, dass die Daten nicht missbraucht werden, verrät die Stellungnahme nicht.

Erst kürzlich konnten Angreifer bei der Freenet-Tochter Vitrado die Daten von 67.000 Nutzern auslesen. Anfang Juli verlangte die britische Datenschutzbehörde eine Strafzahlung von 200 Millionen Euro von der Fluggesellschaft British Airways für ein Datenleck. In der Begründung wurde auf die "schwachen Sicherheitsvorkehrungen" bei der Airline verwiesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

AllDayPiano 30. Jul 2019

Sehe ich genauso. Solche Daten dürfen nur anständig verschlüsselt in irgendeine Cloud...

Micha_T 30. Jul 2019

Wohl wird es mal zeit das eine behörde falsche identitäten erstellt und dann überprüft wo...


Folgen Sie uns
       


Porsche Taycan Probe gefahren

Der Taycan ist klar als Mitglied der Porsche-Familie erkennbar. Das Design weist Elemente sowohl des aktuellen 911er (Baureihe 992), des Cayman sowie des Panamera auf.

Porsche Taycan Probe gefahren Video aufrufen
Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

    •  /