Die Frau, die angeblich einen der größten Überfälle auf Bankdaten begangen hat, hat offenbar eine Sicherheitslücke in der Cloud ausgenutzt, vor der Sicherheitsexperten seit Jahren gewarnt haben.

Paige A. Thompson, eine ehemalige Mitarbeiterin von

            Amazon.com
Inc.

AMZN -1,73%

Der am 29. Juli festgenommenen Cloud-Computing-Einheit wird vorgeworfen, den massiven Diebstahl von 106 Millionen

            Capital One Financial
Corp.

COF -1,16%

Aufzeichnungen.

Nach Angaben von Capital One führte „eine bestimmte Konfigurationsanfälligkeit“ zum Datenverlust.

Paige A. Thompson, die in ihrem Profilbild auf Peegeepee gezeigt wird, wurde wegen Computerbetrug und Missbrauchs angeklagt.

Frau Thompson war angeblich in der Lage, eine Öffnung in den Systemen von Capital One zu finden und eine Schwachstelle in einigen falsch konfigurierten Netzwerken auszunutzen. Dies ergab eine Analyse des Wall Street Journal von Hunderten von Online-Nachrichten und -Interviews von Frau Thompson mit Personen, die mit der Untersuchung vertraut waren. Seit Jahren warnen Sicherheitsexperten vor dieser Lücke, die laut Nachrichten und Interviews dazu führte, dass sie ein System in der Cloud ausgetrickst hatte, um die sensiblen Anmeldeinformationen zu ermitteln, die sie für den Zugriff auf die große Anzahl von Kundendatensätzen benötigte.

Frau Thompson behauptete in Online-Nachrichten auf Konten, von denen die Staatsanwälte sagten, dass sie von ihr stammen, dass sie diese Techniken auch angewendet hätten, um auf eine Fülle von Online-Daten anderer Organisationen zuzugreifen. Die Nachrichten wurden in Online-Foren gepostet.

Der Anwalt von Frau Thompson antwortete nicht auf Anfragen nach Kommentaren. Sie bleibt in Haft und soll am 15. August gegen Kaution verhandelt werden.

Im Mittelpunkt des digitalen Einbruchs stand Frau Thompsons offensichtliche Fähigkeit, ein zentrales Element der Amazon-Cloud-Technologie, den Metadatendienst, zu nutzen. Es enthält die Anmeldeinformationen und andere Daten, die zum Verwalten von Servern in der Cloud erforderlich sind. Die Anmeldeinformationen entsprechen in der Tat den Schlüsseln eines Banktresors in der Computerwelt.

Im ersten Schritt ihres angeblichen Hacks, der im März begann, hat Frau Thompson ihren Online-Postings zufolge einen Scan des Internets durchgeführt, um anfällige Computer zu finden, über die sie auf die internen Netzwerke eines Unternehmens zugreifen kann. Tatsächlich klopfte sie an viele Haustüren, um nach solchen zu suchen, die unverschlossen waren.

Im Fall von Capital One stellte sie fest, dass ein Computer, der die Kommunikation zwischen der Cloud des Unternehmens und dem öffentlichen Internet verwaltet, nach Angaben von Personen, die mit den Ermittlungen vertraut sind, falsch konfiguriert war – tatsächlich hatte er schwache Sicherheitseinstellungen. Die Tür war offen.

Durch diese Öffnung konnte sie erfolgreich die erforderlichen Anmeldeinformationen anfordern, um die in der Cloud gespeicherten Daten von Capital One in einem System in der Amazon-Cloud, dem Metadatendienst, zu finden und zu lesen, in dem diese Informationen gespeichert sind.

"Alter, so viele Leute machen es falsch", sagte Frau Thompson in einer Online-Nachricht vom 27. Juni und bezog sich darauf, wie einige Unternehmen ihre Server falsch konfiguriert haben.

Sobald sie die Capital One-Daten gefunden hatte, konnte sie sie herunterladen, teilten die mit der Untersuchung vertrauten Personen mit. Alles anscheinend ohne irgendwelche Warnungen auszulösen.

Teile deine Gedanken

Haben Sie vorbeugende Maßnahmen ergriffen, falls Ihre Bank gehackt wird? Welche? Nehmen Sie an der folgenden Unterhaltung teil.

Amazon erklärte in einer Erklärung, dass keiner seiner Dienste – einschließlich des Metadatendienstes – die zugrunde liegende Ursache für den Einbruch darstelle und dass es Überwachungstools zur Erkennung dieser Art von Vorfällen anbiete.

Es ist unklar, warum keines dieser Alarmierungsinstrumente bei Capital One Alarmglocken ausgelöst zu haben scheint.

Einer eidesstattlichen Erklärung des Federal Bureau of Investigation zufolge ermöglichte ein Capital One-Fehler den Verstoß. Nach Angaben von Capital One wurde das Konfigurationsproblem behoben.

Einige Sicherheitsexperten sagen, dass Amazon mehr tun sollte, um seine Kunden auf diese Konfigurationsfehler aufmerksam zu machen. Andere sagen, da Cloud-Sicherheit eine gemeinsame Verantwortung ist, müssen Unternehmenskunden ihren Teil dazu beitragen.

Amazon hat verschiedene Tools bereitgestellt, mit denen Konfigurationsfehler behoben werden können.

Die Staatsanwaltschaft teilte mit, dass Frau Thompson am 12. März mit dem Hacken begonnen habe. Capital One erfuhr davon jedoch erst, als sie 127 Tage später von einem externen Forscher darüber informiert wurde.

In einem Hack

Das Wall Street Journal verfolgte den mutmaßlichen Weg des beschuldigten Hackers Paige Thompson zum Erhalt der in der Cloud gespeicherten Capital One-Daten.

Zugriff auf das Capital One-Netzwerk über AWS

Frau Thompson kann über eine falsch konfigurierte Firewall auf den Metadatendienst zugreifen.

Sie kann dann die Anmeldeinformationen von verwenden

den Metadatendienst, um die Daten von Capital One zu finden und herunterzuladen.

Sicherheitsexperten wissen seit mindestens 2014 über eines dieser Probleme bei der Fehlkonfiguration Bescheid – die Möglichkeit, Anmeldeinformationen aus dem Metadatendienst zu stehlen -, sagt Scott Piper, der Unternehmen in Bezug auf ihre Amazon Cloud-Sicherheit berät. Amazon habe es als die Verantwortung des Kunden angesehen, sie zu beseitigen, und einige Kunden hätten dies versäumt.

Der Sicherheitsforscher Brennon Thomas führte im Februar einen Internet-Scan durch und fand mehr als 800 Amazon-Konten, die einen ähnlichen Zugriff auf den Metadatendienst ermöglichten. Der Cloud-Computing-Dienst von Amazon verfügt über mehr als eine Million Nutzer.

Herr Thomas sagte, das Problem falsch konfigurierter Server, die es Außenstehenden ermöglichen, auf vertrauliche Metadaten zuzugreifen, sei nicht auf Amazon Web Services oder AWS beschränkt. Sein Test ergab auch Probleme mit laufenden Systemen

            Microsoft
Corp.

Wolke. Microsoft hat auf Anfragen nach Kommentaren nicht geantwortet.

Dass Capital One ein Opfer war, hat einige Forscher überrascht. Die Bank führte umfassende Due Diligence-Prüfungen durch, bevor sie 2015 beschloss, die Cloud zu nutzen. "Capital One ist unter Leuten, die Cloud-Sicherheit betreiben, dafür bekannt, dass sie eines der stärksten Teams auf dem Markt haben", sagte Piper.

Die Capital One-Datenschutzverletzung ist nicht das erste Mal, dass in der Cloud gespeicherte Daten gestohlen wurden. Die Tatsache, dass der fünftgrößte US-Kreditkartenanbieter zum Opfer gefallen ist, lässt die Besorgnis über Cloud Computing wieder aufleben. Capital One war ein früher Anwender von Cloud Computing und wird als Fallstudie auf der AWS-Website vorgestellt.

Paige Thompsons Zuhause

Foto:

Ted S. Warren / Associated Press

Die Federal Reserve hat, unabhängig vom Hack, die Verwendung der Cloud zur Speicherung sensibler Finanzdaten bereits einer genauen Prüfung unterzogen.

Frau Thompson implizierte in einer Veröffentlichung von einem der Konten, von denen die Staatsanwaltschaft behauptete, dass sie solche Techniken einsetzte, um auf die Cloud-Computing-Konten anderer Unternehmen, einschließlich der italienischen Bank, abzuzielen

            UniCredit
            

      SpA und

            Ford Motor
Co.

Beide Unternehmen haben angekündigt, sich damit zu befassen. Das FBI hat eine Untersuchung der anderen Ziele eingeleitet, von denen vermutet wird, dass sie von Frau Thompson getroffen wurden.

Die mutmaßlichen Handlungen von Frau Thompson sind möglicherweise viel länger unbemerkt geblieben, wenn sie keine Details zu ihrem Hack online gestellt hätte.

Schreiben Sie an Robert McMillan bei Robert.Mcmillan@wsj.com

Copyright © 2019 Dow Jones & Company, Inc. Alle Rechte vorbehalten. 87990cbe856818d5eddac44c7b1cdeb8

.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.