Ungefähr 3.000 UniCredit-Mitarbeiterdaten werden nach einem Hacking-Angriff zum Verkauf angeboten
Am 19. April bot ein Benutzer eines Hacking-Forums, der sich hinter dem Spitznamen c0C0linoz versteckt hatte, persönliche und arbeitsbezogene Informationen von UniCredit-Mitarbeitern zum Verkauf an. UniCredit ist die größte Bank in Italien und eines der größten Finanzinstitute in Europa. Es hat fast 100.000 Mitarbeiter sowie Tochtergesellschaften in einer Reihe von Ländern. Viele Leute waren daran interessiert, was genau zum Verkauf angeboten wurde, und Forscher von Cyble sowie Mitarbeiter einer Telecom Italia-Einheit namens Telsy beschlossen, einen Blick darauf zu werfen.
Table of Contents
Was wurde gestohlen?
Laut dem Beitrag von c0c0linoz könnten angehende Cyberkriminelle mit etwas Geld in der Tasche die Namen, E-Mail-Adressen, Telefonnummern und verschlüsselten Passwörter von UniCredit-Mitarbeitern kaufen. In Bezug auf technische Informationen war nicht viel verfügbar, aber der Verkäufer wies darauf hin, dass die Daten auf "Ende 2018-2019" datiert waren, und nach Überprüfung der im Hacking-Forum veröffentlichten Beispielaufzeichnungen c0c0linoz kamen die Forscher von Telsy zu dem Schluss, dass es sich um Informationen handelt authentisch.
Woher wurde es gestohlen?
Offensichtlich könnte ein Verstoß gegen ein derart massives Finanzinstitut enorme Konsequenzen nicht nur für die Mitarbeiter, sondern auch für die Kunden haben. Nachdem Bloomberg von der Geschichte erfahren hatte, wandte er sich an die Bank und erfuhr, dass die Systeme von UniCredit nicht verletzt wurden. Stattdessen zielte der Angriff auf eine HR-Rekrutierungsplattform ab, die von einem rumänischen Unternehmen entwickelt und verwaltet wurde.
Telsys Untersuchung ergab mehrere Konten in anderen Hacking-Foren, die wahrscheinlich mit c0c0linoz in Verbindung stehen, und die Forscher stellten fest, dass die Daten mehrfach beworben wurden. In einigen Anzeigen wurde zwar erwähnt, dass die Daten aus Rumänien stammen, es bleibt jedoch unklar, ob sich die betroffenen Mitarbeiter nur im osteuropäischen Land befinden oder ob sie auf dem gesamten Kontinent verteilt sind.
Wie viel kosten die Daten?
Es gibt Hinweise darauf, dass die HR-Plattform eines Drittanbieters über eine SQL-Injection gehackt wurde. SQL-Injektionen liegen in Bezug auf die Komplexität am unteren Ende des Spektrums. Es ist alles andere als der schwierigste Angriff, aber die Tatsache bleibt, dass jeder, der es getan hat, einen hübschen Cent will.
Die Zahl der betroffenen Mitarbeiter liegt bei rund 3.000, und Cyberkriminelle, die eine Liste ihrer Namen wünschen, können diese für 1.000 US-Dollar erhalten. Wer jedoch die vollständige Datenbank mit allen Details haben möchte, muss 10.000 US-Dollar bezahlen.
Der Verschlüsselungsalgorithmus, mit dem die Passwörter der betroffenen Mitarbeiter verschlüsselt werden, ist unbekannt. Daher ist es schwierig zu sagen, wie hoch das Risiko für die Daten ist. Sofern das Abrufen der Klartext-Anmeldeinformationen nicht trivial ist, können die in der Anzeige veröffentlichten Beträge c0c0linoz aus dem Markt verdrängen. Hoffentlich wird genau dies passieren, aber UniCredit sollte bereit sein, das Risiko zu mindern, falls dies nicht der Fall ist.
