Hacken leicht gemacht: Kreditkartendaten bei Citigroup zugänglich durch veränderte URL

Bank mit offener Hintertür

Es war ein Kinderspiel für geübte Hacker, an die Daten von 200.000 Kunden der Citigroup zu kommen. Sie benötigten nur die richtigen Login-Daten eines einzelnen Kunden, um die anderen auszuspähen. Nach dem Einloggen ließen sie ein Script laufen, das die Zahlen in der Webadresse austauschte, in der die Kontonummer des jeweiligen Kunden enthalten war.

Eine schlichte Sicherheitslücke mit erheblichen Folgen, wie die New York Times berichtet. Die Bank selbst beruft sich auf laufende Ermittlungen und hält sich weiterhin bedeckt über den Einbruch in ihr System, der im Mai bemerkt wurde. Tatsächlich befindet sich die benutzte Schwachstelle, auch bekannt als insecure direct object reference in einer Top-10-Liste der Risiken, zusammengestellt vom Open Web Application Security Project. Es gilt nicht nur als besonders fahrlässiger und vermeidbarer Fehler, auch der Angriff selbst wäre leicht zu bemerken gewesen.

„Es war eine leicht zu erkennende Attacke, und sie haben einfach nicht hingesehen“, kommentierte Jeff Williams, CEO von Aspect Security, gegenüber dem britischen Register. Die Times hingegen ließ sich von Sicherheitsexperten erzählen, es habe sich zwar um einen scheinbar einfachen Angriff gehandelt, aber die Angreifer hätten sich auf diese spezielle Schwachstelle zu konzentrieren vermocht und damit als besonders raffiniert erwiesen.

Mit einer Welle weiterer Angriffe auf Bankdaten ist zu rechnen. Die Nachfrage steigt, da Kreditkarten ablaufen, die bei umfangreichen Datendiebstählen im Jahr 2008 kompromittiert wurden. Der Preis für Kreditkartendaten könnte demnach von gegenwärtig wenigen Cent auf mehrere Dollar steigen. Ein Ermittler warnt: „Wenn Sie glauben, dass finanziell motivierte Datendiebstähle jetzt besonders häufig sind, dann warten Sie mal ein Jahr.“

Abbildung: bensonk42 / CC