Capital One: Über 100 Millionen Kunden von Banken-Hack betroffen

Die US-Bank Capital One wurde durch einen "Konfigurationsfehler" bei einem Cloud-Anbieter gehackt. Sensible Daten von Millionen Bankkunden sind betroffen. Durch den Tipp eines Github-Nutzers konnte eine Verdächtige festgenommen werden.

Artikel veröffentlicht am ,
Hat seine Kundendaten nicht im Griff: Capital One
Hat seine Kundendaten nicht im Griff: Capital One (Bild: Johannes Eisele/AFP/Getty Images)

Die US-Bank Capital One wurde durch eine "Konfigurationsschwachstelle" bei einem nicht genannten Cloudanbieter gehackt, wie die Bank in einer Stellungnahme schreibt. Insgesamt konnten die Daten von über 100 Millionen Kunden kopiert werden. Eine Verdächtige wurde bereits festgenommen.

Stellenmarkt
  1. IKT-Beschäftigter (m/w/d)
    Stadt Köln, Köln
  2. Softwareentwicklerin / Softwareentwickler (m/w/d) mit Schwerpunkt Datenkonnektivität - Goethe ... (m/w/d)
    Universitätsklinikum Frankfurt, Frankfurt am Main
Detailsuche

Die Verdächtige soll Informationen über den Hack auf Github veröffentlicht haben, schreibt das US-Justizministerium. Bei der 33-Jährigen soll es sich um eine ehemalige Mitarbeiterin von AWS (Amazon Webservices) handeln. Ein Github-Nutzer sah den Post am 17. Juli 2019 und meldete Capital One ein potenzielles Datenleck. Zwei Tage später verifizierte die Bank das Datenleck und schaltete das FBI ein, welches die Verdächtige identifizierte und verhaftete. Auf beschlagnahmten Datenträgern fanden die Ermittler zudem eine Kopie der Capital-One-Daten.

Umfangreicher Datenfundus

Die angebliche Hackerin soll durch eine falsch konfigurierte Web Application Firewall Zugriff auf die Daten von mehr als 100 Millionen US-Kunden der Bank erhalten haben. Zudem seien sechs Millionen Kanadier betroffen. Bei einem Großteil der Daten handelt es sich laut Capital One um Kreditkartenanträge aus den vergangenen zehn Jahren. Dies beinhalte die bei derlei Anträgen "routinemäßig" gesammelten Daten, "einschließlich Namen, Adressen, Postleitzahlen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und selbst gemeldetes Einkommen", erklärt die Bank in einer Stellungnahme. Bei über einer Million der Kunden sei zudem die Sozialversicherungsnummer kompromittiert worden, bei 80.000 zudem die mit einer Kreditkarte verknüpfte Kontonummer.

Auch Kundenstatusdaten, darunter Kreditwürdigkeit-Scores, Kreditlimit, Guthaben, Zahlungsverhalten sowie Kontaktdaten seien betroffen. Auch "Fragmente von Transaktionsdaten aus insgesamt 23 Tagen in den Jahren 2016, 2017 und 2018" seien in dem Datenleck, heißt es in der Stellungnahme.

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
  2. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
Weitere IT-Trainings

Angreifer können die Daten beispielsweise zum Identitätsdiebstahl oder für Social-Engineering-Angriffe verwenden. Die Bank kündigte an, die Betroffenen auf verschiedenen Wegen informieren zu wollen sowie einen Schutz vor Identitätsdiebstahl anzubieten. Wie dieser sicherstellen soll, dass die Daten nicht missbraucht werden, verrät die Stellungnahme nicht.

Erst kürzlich konnten Angreifer bei der Freenet-Tochter Vitrado die Daten von 67.000 Nutzern auslesen. Anfang Juli verlangte die britische Datenschutzbehörde eine Strafzahlung von 200 Millionen Euro von der Fluggesellschaft British Airways für ein Datenleck. In der Begründung wurde auf die "schwachen Sicherheitsvorkehrungen" bei der Airline verwiesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen

In einer Sammelklage wird Paypal vorgeworfen, Konten ohne Nennung von Gründen einzufrieren und das Geld nach 180 Tagen zu behalten.

Klage: Paypal friert Konten ein und behält Geld nach 180 Tagen
Artikel
  1. Krypto-Verbot: Panikverkäufe von Krypto-Mininggerät im Kosovo
    Krypto-Verbot
    Panikverkäufe von Krypto-Mininggerät im Kosovo

    Schürfen von Kryptowährungen ist im Kosovo seit kurzem verboten. Mineure versuchen, ihr Equipment oft zu Schleuderpreisen loszuwerden.

  2. Malware: Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine
    Malware
    Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine

    Die Schadsoftware soll sich als Ransomware tarnen.

  3. Großunternehmen: Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen
    Großunternehmen
    Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen

    Bundesfinanzminister Christian Lindner will die Mindeststeuer für Großunternehmen in Deutschland schnell einführen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /