Capital One: Über 100 Millionen Kunden von Banken-Hack betroffen

Die US-Bank Capital One wurde durch eine "Konfigurationsschwachstelle" bei einem nicht genannten Cloudanbieter gehackt, wie die Bank in einer Stellungnahme schreibt. Insgesamt konnten die Daten von über 100 Millionen Kunden kopiert werden. Eine Verdächtige wurde bereits festgenommen.

Die Verdächtige soll Informationen über den Hack auf Github veröffentlicht haben, schreibt das US-Justizministerium. Bei der 33-Jährigen soll es sich um eine ehemalige Mitarbeiterin von AWS (Amazon Webservices) handeln. Ein Github-Nutzer sah den Post am 17. Juli 2019 und meldete Capital One ein potenzielles Datenleck. Zwei Tage später verifizierte die Bank das Datenleck und schaltete das FBI ein, welches die Verdächtige identifizierte und verhaftete. Auf beschlagnahmten Datenträgern fanden die Ermittler zudem eine Kopie der Capital-One-Daten.

Umfangreicher Datenfundus

Die angebliche Hackerin soll durch eine falsch konfigurierte Web Application Firewall Zugriff auf die Daten von mehr als 100 Millionen US-Kunden der Bank erhalten haben. Zudem seien sechs Millionen Kanadier betroffen. Bei einem Großteil der Daten handelt es sich laut Capital One um Kreditkartenanträge aus den vergangenen zehn Jahren. Dies beinhalte die bei derlei Anträgen "routinemäßig" gesammelten Daten, "einschließlich Namen, Adressen, Postleitzahlen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und selbst gemeldetes Einkommen", erklärt die Bank in einer Stellungnahme. Bei über einer Million der Kunden sei zudem die Sozialversicherungsnummer kompromittiert worden, bei 80.000 zudem die mit einer Kreditkarte verknüpfte Kontonummer.

Auch Kundenstatusdaten, darunter Kreditwürdigkeit-Scores, Kreditlimit, Guthaben, Zahlungsverhalten sowie Kontaktdaten seien betroffen. Auch "Fragmente von Transaktionsdaten aus insgesamt 23 Tagen in den Jahren 2016, 2017 und 2018" seien in dem Datenleck, heißt es in der Stellungnahme.

Angreifer können die Daten beispielsweise zum Identitätsdiebstahl oder für Social-Engineering-Angriffe verwenden. Die Bank kündigte an, die Betroffenen auf verschiedenen Wegen informieren zu wollen sowie einen Schutz vor Identitätsdiebstahl anzubieten. Wie dieser sicherstellen soll, dass die Daten nicht missbraucht werden, verrät die Stellungnahme nicht.

Erst kürzlich konnten Angreifer bei der Freenet-Tochter Vitrado die Daten von 67.000 Nutzern auslesen. Anfang Juli verlangte die britische Datenschutzbehörde eine Strafzahlung von 200 Millionen Euro von der Fluggesellschaft British Airways für ein Datenleck. In der Begründung wurde auf die "schwachen Sicherheitsvorkehrungen" bei der Airline verwiesen.