Checkout.com reagiert auf Hackerangriff: Lösegeld abgelehnt und Spende für Sicherheitsforschung
(checkout.com)- Die Zahlungsplattform Checkout.com wurde Ziel eines Erpressungsversuchs durch Cyberkriminelle, lehnte die Zahlung von Lösegeld ab und spendet den entsprechenden Betrag stattdessen für Cybersicherheitsforschung
- Die Angreifer verschafften sich unbefugten Zugriff auf ein Legacy-Cloud-Dateispeichersystem eines Drittanbieters, das vor 2020 genutzt wurde, und erlangten dabei einige Daten
- Checkout.com betont, dass die Zahlungsabwicklungsplattform, Händlergelder und Kartendaten in keiner Weise betroffen waren
- Das Unternehmen schätzt, dass weniger als 25 % aller Händler betroffen sein könnten, und arbeitet mit Strafverfolgungsbehörden und Aufsichtsbehörden zusammen
- Spenden gehen an die Carnegie Mellon University und das University of Oxford Cyber Security Center; zugleich bekräftigt das Unternehmen Transparenz und Vertrauen als Kernwerte der Branche
Überblick über den Vorfall
- Checkout.com wurde vergangene Woche von einer kriminellen Gruppe namens „ShinyHunters“ kontaktiert, die behauptete, an Checkout.com-bezogene Daten gelangt zu sein, und Lösegeld forderte
- Die Untersuchung ergab, dass sich die Angreifer unbefugten Zugriff auf ein vor 2020 verwendetes Cloud-Dateispeichersystem eines Drittanbieters verschafft hatten
- Das System wurde zur Speicherung von internen Betriebsdokumenten und Unterlagen für das Händler-Onboarding genutzt
- Checkout.com räumte ein, dass das System versehentlich nicht ordnungsgemäß stillgelegt wurde
- Das Unternehmen stellte klar, dass der Vorfall keine Auswirkungen auf die Zahlungsabwicklungsplattform hatte und die Angreifer weder auf Händlergelder noch auf Kartennummern zugreifen konnten
Auswirkungen und Reaktionsmaßnahmen
- Checkout.com schätzt derzeit, dass weniger als 25 % der Händler betroffen sein könnten
- Das Unternehmen ist dabei, betroffene Händler zu identifizieren und einzeln zu kontaktieren, und arbeitet mit Strafverfolgungsbehörden sowie den zuständigen Aufsichtsbehörden zusammen
- Checkout.com betont Transparenz und Verantwortlichkeit und bekräftigt gegenüber Partnern und Kunden den Willen, Vertrauen zu erhalten
Ablehnung des Lösegelds und Spendenentscheidung
- Checkout.com erklärte, kein Lösegeld an Kriminelle zu zahlen
- Stattdessen spendet das Unternehmen den von den Angreifern geforderten Betrag als Fördermittel für die Erforschung von Cyberkriminalität an die Carnegie Mellon University und das University of Oxford Cyber Security Center
- Das Unternehmen erklärte, den Vorfall zum Anlass für mehr Sicherheitsinvestitionen in der gesamten Branche machen zu wollen
Haltung und Zusagen des Unternehmens
- Checkout.com erklärte, dass „Sicherheit, Transparenz und Vertrauen“ die Grundlage der Branche seien, und kündigte an, den Fehler anzuerkennen und Händler zu schützen
- Das Unternehmen betonte, weiter in den Kampf gegen kriminelle Aktivitäten zu investieren, die die digitale Wirtschaft bedrohen
- Händler können über ihre bestehenden Checkout-Ansprechpartner Unterstützung anfordern
Fazit
- Checkout.com hat mit diesem Vorfall seine entschlossene Haltung gegenüber Cyber-Erpressung gezeigt und will
durch Spenden für Sicherheitsforschung die Abwehrkraft der gesamten Branche stärken - Das Unternehmen konzentriert sich darauf, durch transparente Offenlegung und verantwortungsvolle Maßnahmen das Vertrauen der Händler wiederherzustellen
1 Kommentare
Hacker-News-Kommentare
Vor einigen Jahren wurden Mitglieder von ShinyHunters vom FBI festgenommen.
Ich war mit einem von ihnen, Sebastian Raoult, im selben Gefängnis und habe ziemlich oft mit ihm gesprochen.
Die Hartnäckigkeit, die sie bei ihren groß angelegten Phishing-Angriffen an den Tag legten, war erstaunlich. So verschafften sie sich den Großteil ihrer Zugänge, und ansonsten suchten sie auf GitHub nach API-Endpunkten und durchforsteten geleakte Schlüssel.
Er mochte die automatischen Scanner von GitHub nicht besonders.
Verwandter Artikel: Pressemitteilung des US-Justizministeriums
Deshalb überrascht es nicht, dass sie sich per Social Engineering Zugang verschafft haben.
Interessant ist, dass sie selbst ebenfalls Opfer von Social Engineering gewesen sein könnten. Leute, die Exploits für Online-Spiele entwickeln und damit junge Hacker anlocken, schaffen am Ende eine Struktur, in der sich sicherer Geld verdienen lässt.
Ich frage mich, ob er illegales Hosting genutzt hat oder ob er über einen Zahlungsanbieter zurückverfolgt wurde.
Ich würde auch gern wissen, ob die Seite wie Sportsurge nur Links angeboten oder die Streams tatsächlich selbst gehostet hat.
Aus der Entschuldigung des Unternehmens:
Wichtiger als eine echte Entschuldigung sind die Root-Cause-Analyse und Maßnahmen, damit so etwas nicht wieder passiert.
Nur wenn offengelegt wird, welche veralteten Systeme mit Kundendaten es noch gab und wer das Budget blockiert hat, lässt sich Vertrauen zurückgewinnen.
Eine echte Entschuldigung sollte sich nicht in Worten, sondern in Entschädigung zeigen.
Wäre ich Kunde, wäre ich wütend, aber ich denke, die Reaktion war dieses Mal so gut wie möglich.
Rechtliche Haftung, Rückerstattungen und schärfere Regulierung müssen Hand in Hand gehen.
Für mehr Transparenz wäre es gut gewesen, auch die Audit-Ergebnisse und das Postmortem zu veröffentlichen.
Die Spende wirkt eher wie Symbolpolitik als wie eine konkrete Verbesserung der Sicherheit.
Es ist wichtiger, bekannte Sicherheitsgrundsätze einzuhalten. Mit dem Geld hätte man lieber Sicherheitspersonal einstellen oder die Systeme härten sollen.
(Zur Einordnung: Der Hack betraf ein nicht stillgelegtes Legacy-System.)
Es ist nicht bloß moralische Selbstdarstellung, sondern ein Signal: „Wir beugen uns keinen Lösegeldforderungen.“
Hätten sie Lösegeld gezahlt, hätte das womöglich noch mehr Angriffe provoziert.
Selbst wenn Geld verloren geht, ist es klüger, es für etwas Sinnvolles einzusetzen.
Zwar hätte die Finanzierung von Kriminellen Nebenwirkungen, aber ohne Zahlung könnten Kunden am Ende noch größeren Schaden erleiden.
Die Formulierung „Der Angreifer verschaffte sich über ein Cloud-Storage-System eines Drittanbieters Zugang“ wirkt etwas wie Abwälzen von Verantwortung.
Selbst wenn so ein Vorfall passiert, wird eine Woche lang darüber gespottet, und dann ist es vorbei. Am Ende ändert sich fast nichts grundlegend.
Ich halte diese öffentliche Reaktion und die Spende für eine mutige Entscheidung.
Perfekte Sicherheit ist unmöglich, und solange noch kein Postmortem vorliegt, ist vorschnelle Kritik schwierig.
Dass nichts vertuscht wurde und man mit einer Spende an die Wissenschaft einen gemeinwohlorientierten Ansatz gewählt hat, verdient Anerkennung.
Wenn man die Formulierung „das für interne Betriebsdokumente und Händler-Onboarding-Unterlagen verwendete System“ liest, handelt es sich wahrscheinlich um im KYC-Prozess gesammelte Dokumente.
Also möglicherweise Unternehmensunterlagen oder Scans von Pässen und Ausweisen.
Solche Daten bergen ein hohes Risiko für Identitätsdiebstahl und können über Jahre hinweg gültig bleiben.
Seit der DSGVO werden solche sensiblen Daten in separaten Sicherheitsbereichen aufbewahrt.
Wahrscheinlich war es einfach ein Speicherort für PDFs oder Fragebogendokumente, den das Onboarding-Team genutzt hat.
Selbst wenn „weniger als 25 % der Kunden betroffen waren“, wäre ich, falls ich dazugehörte, mit einer bloßen Geste ohne Entschädigung kaum zufrieden.
„OXCIS“ steht für das Oxford Centre for Islamic Studies, also ist das wohl nicht gemeint.
Der tatsächliche Empfänger der Spende scheint das Cyber-Security-Forschungszentrum der University of Oxford zu sein.
Nach meiner Erfahrung in der Fintech-Branche handelt es sich bei den diesmal geleakten Daten offenbar um KYB-Dokumente von Händlern.
Diese dienen der Bewertung von Geschäftsrisiken und sind nicht so sensibel wie Zahlungsdaten oder PANs.
Natürlich ist ein Hack schlecht, aber solche Daten sind teils ohnehin öffentlich zugänglich.
Dass das Unternehmen dies transparent offengelegt hat, ist positiv zu bewerten.
Deshalb besteht auch ein Risiko für Identitätsdiebstahl bei wohlhabenden Personen.