Capital One: Hacker stehlen die Daten von 100 Millionen Amerikanern

Kredit: BBC

Ein Hacker, der die Namen, Adressen, Telefonnummern und Geburtsdaten von Kunden von Capital One in den USA und Kanada erlangte, wurde vom FBI festgenommen.

Über 100 Millionen Amerikanern wurden Daten von einem Hacker gestohlen, der Kredit-Scores, Guthaben und Sozialversicherungsnummern von über Bewerbern erlangte.

Das in Virginia ansässige Unternehmen Capital One behauptete, den Hack am 19. Juli entdeckt zu haben, und suchte sofort Hilfe bei den Strafverfolgungsbehörden. Die FBI-Beschwerde beschreibt, dass die Bank zwei Tage zuvor eine E-Mail erhalten hatte, in der sie darüber informiert wurde, dass auf GitHub durchgesickerte Daten erschienen waren. Vor einem Monat verschickte ein Twitter-Nutzer unter dem Pseudonym „erratic“ Direktnachrichten an Capital One, in denen er drohte, die Daten der Bank preiszugeben.

Paige A. Thompson, die Benutzerin hinter „erratic“, wurde in Seattle wegen einer einzigen Anklage wegen Computerbetrugs und -missbrauchs angeklagt. Thompson ist zum ersten Mal vor Gericht erschienen und befindet sich Ende dieser Woche in Untersuchungshaft. Thompsons Wohnung wurde am Montag durchsucht, wobei digitale Geräte beschlagnahmt wurden. Das FBI führte eine erste Suche durch, bei der Dateien gefunden wurden, die auf Capital One und „andere Unternehmen verweisen, die möglicherweise Ziele versuchter oder tatsächlicher Netzwerkeindringlinge waren“.

Capital One behauptete, der Hacker habe eine „Konfigurationslücke“ in ihrer Infrastruktur „ausgenutzt“. „Obwohl ich dankbar bin, dass der Täter gefasst wurde, tut es mir zutiefst leid, was passiert ist“, sagte der Vorsitzende Richard Fairbank in einer Erklärung. „Ich entschuldige mich aufrichtig für die verständliche Sorge, die dieser Vorfall bei den Betroffenen hervorrufen muss, und ich bin entschlossen, es richtig zu machen.“

Thompson droht eine Höchststrafe von fünf Jahren und eine Geldstrafe von 250,000 Dollar (204,713 Pfund).

Ist es heutzutage einfacher, Daten zu hacken?

Wie Tinder, SMS und Tweets ist Hacking mit der Entwicklung des Internets zu einem Mainstream-Tech-Thema geworden. Hacking ist nicht mehr nur ein Thema, das Computerfreaks und IT-Leuten vorbehalten ist, sondern eine Mainstream-Sorge: eine, die riesige Mengen von Menschen betreffen kann, die ansonsten nur ein vorübergehendes Interesse am Internet haben.

Die Wahrheit ist, dass die Welt online ist. Wir erledigen Online-Banking, finden online Freunde, unsere Post wurde im Laufe der Jahre in virtuelle Posteingänge umgeleitet und viele unserer Einkäufe auch auf Amazon durchgeführt. Bei so vielen Konten und Profilen auf Websites und Apps – und bei jedem Unternehmen, das Sie mit der Speicherung ihrer Daten an einem zugänglichen Ort in Verbindung bringen – Hacking-Möglichkeiten sind weit verbreitet.

Der Schrecken von Capital One ist kein Einzelfall. „Obwohl einige der Informationen in diesen Anträgen (z. B. Sozialversicherungsnummern) tokenisiert oder verschlüsselt wurden, wurden andere Informationen, darunter die Namen, Adressen, Geburtsdaten und Informationen zu ihrer Kreditwürdigkeit der Antragsteller, nicht tokenisiert“, warnte das FBI die Situation. Es ist erschreckend einfach, solche sensiblen Informationen unverschlüsselt zu erhalten.


Ein Server kann Dutzende von Websites hosten. Das sind potenziell unbegrenzte Daten, die alle von einer Website mit offenen Ports und der Option, ein Profilbild hochzuladen, geerntet werden.


Im vergangenen Jahr hat Cambridge Analytica illegal auf die Daten von 87 Millionen Facebook-Nutzern zugegriffen. Ebenfalls im vergangenen Jahr gab Facebook-eigenes WhatsApp zu, dass Hacker Spyware auf Android- und Apple-Geräten installieren konnten. Daten von über 57 Millionen Uber-Kunden wurden im Oktober 2016 gehackt und ein Jahr später bestätigte Yahoo, dass alle 3 Milliarden seiner Benutzerkonten verletzt wurden.

Beim Hacken einer Website suchen Hacker beispielsweise nach offenen Ports. Von dort aus können sie feststellen, wie viele Dateien auf dem Webserver gespeichert sind. Das Hochladen von Dateien auf Websites ist eine Möglichkeit, in die Angreifer eindringen können: Das uneingeschränkte Hochladen von Dateien kann dazu führen, dass Hacker eine vollständige Systemübernahme, ein überlastetes Dateisystem oder eine überlastete Datenbank oder sogar eine einfache Verunstaltung durchführen.

Ein Server kann Dutzende von Websites hosten. Hacker können ohne großen Aufwand einen Weg in eine Datenbank mit Root-Rechten finden. Das sind potenziell unbegrenzte Daten, die alle von einer Website mit offenen Ports und der Option, ein Profilbild hochzuladen, geerntet werden

Was passiert als nächstes für Capital One?

Kunden von Capital One auf der anderen Seite des Teiches wird geraten, alle ihre Passwörter sofort zu ändern. Die Überprüfung von Kreditkarten und Kontoauszügen auf verdächtige Aktivitäten ist eine weitere Selbstverständlichkeit.

Hauptsitz von Capital One in Tysons, Virginia / Credit: Bisnow

Dies ist jedoch nur der Anfang für eine Bank, die möglicherweise das Vertrauen vieler ihrer Benutzer verloren hat. Capital One schätzt, dass der Vorfall kurzfristig 100 bis 150 Millionen Dollar kosten wird. Die Daten wurden fast drei Monate lang veröffentlicht; Die Aktie von Capital One fiel am Dienstag im vorbörslichen Handel um 5 %.

Trotz der Angst hat die Bank behauptet, dass „keine Kreditkartenkontonummern oder Anmeldeinformationen kompromittiert wurden und über 99 % der Sozialversicherungsnummern nicht kompromittiert wurden“.

Lukas Konrad

Technologie- und Marketing-Enthusiast

Die Digital Transformation Expo findet am 2. und 3. Oktober in London statt. Jetzt registrieren!