1 Punkte von GN⁺ 2025-11-14 | 1 Kommentare | Auf WhatsApp teilen
  • Die Zahlungsplattform Checkout.com wurde Ziel eines Erpressungsversuchs durch Cyberkriminelle, lehnte die Zahlung von Lösegeld ab und spendet den entsprechenden Betrag stattdessen für Cybersicherheitsforschung
  • Die Angreifer verschafften sich unbefugten Zugriff auf ein Legacy-Cloud-Dateispeichersystem eines Drittanbieters, das vor 2020 genutzt wurde, und erlangten dabei einige Daten
  • Checkout.com betont, dass die Zahlungsabwicklungsplattform, Händlergelder und Kartendaten in keiner Weise betroffen waren
  • Das Unternehmen schätzt, dass weniger als 25 % aller Händler betroffen sein könnten, und arbeitet mit Strafverfolgungsbehörden und Aufsichtsbehörden zusammen
  • Spenden gehen an die Carnegie Mellon University und das University of Oxford Cyber Security Center; zugleich bekräftigt das Unternehmen Transparenz und Vertrauen als Kernwerte der Branche

Überblick über den Vorfall

  • Checkout.com wurde vergangene Woche von einer kriminellen Gruppe namens „ShinyHunters“ kontaktiert, die behauptete, an Checkout.com-bezogene Daten gelangt zu sein, und Lösegeld forderte
  • Die Untersuchung ergab, dass sich die Angreifer unbefugten Zugriff auf ein vor 2020 verwendetes Cloud-Dateispeichersystem eines Drittanbieters verschafft hatten
    • Das System wurde zur Speicherung von internen Betriebsdokumenten und Unterlagen für das Händler-Onboarding genutzt
    • Checkout.com räumte ein, dass das System versehentlich nicht ordnungsgemäß stillgelegt wurde
  • Das Unternehmen stellte klar, dass der Vorfall keine Auswirkungen auf die Zahlungsabwicklungsplattform hatte und die Angreifer weder auf Händlergelder noch auf Kartennummern zugreifen konnten

Auswirkungen und Reaktionsmaßnahmen

  • Checkout.com schätzt derzeit, dass weniger als 25 % der Händler betroffen sein könnten
  • Das Unternehmen ist dabei, betroffene Händler zu identifizieren und einzeln zu kontaktieren, und arbeitet mit Strafverfolgungsbehörden sowie den zuständigen Aufsichtsbehörden zusammen
  • Checkout.com betont Transparenz und Verantwortlichkeit und bekräftigt gegenüber Partnern und Kunden den Willen, Vertrauen zu erhalten

Ablehnung des Lösegelds und Spendenentscheidung

  • Checkout.com erklärte, kein Lösegeld an Kriminelle zu zahlen
  • Stattdessen spendet das Unternehmen den von den Angreifern geforderten Betrag als Fördermittel für die Erforschung von Cyberkriminalität an die Carnegie Mellon University und das University of Oxford Cyber Security Center
  • Das Unternehmen erklärte, den Vorfall zum Anlass für mehr Sicherheitsinvestitionen in der gesamten Branche machen zu wollen

Haltung und Zusagen des Unternehmens

  • Checkout.com erklärte, dass „Sicherheit, Transparenz und Vertrauen“ die Grundlage der Branche seien, und kündigte an, den Fehler anzuerkennen und Händler zu schützen
  • Das Unternehmen betonte, weiter in den Kampf gegen kriminelle Aktivitäten zu investieren, die die digitale Wirtschaft bedrohen
  • Händler können über ihre bestehenden Checkout-Ansprechpartner Unterstützung anfordern

Fazit

  • Checkout.com hat mit diesem Vorfall seine entschlossene Haltung gegenüber Cyber-Erpressung gezeigt und will
    durch Spenden für Sicherheitsforschung die Abwehrkraft der gesamten Branche stärken
  • Das Unternehmen konzentriert sich darauf, durch transparente Offenlegung und verantwortungsvolle Maßnahmen das Vertrauen der Händler wiederherzustellen

1 Kommentare

 
GN⁺ 2025-11-14
Hacker-News-Kommentare
  • Vor einigen Jahren wurden Mitglieder von ShinyHunters vom FBI festgenommen.
    Ich war mit einem von ihnen, Sebastian Raoult, im selben Gefängnis und habe ziemlich oft mit ihm gesprochen.
    Die Hartnäckigkeit, die sie bei ihren groß angelegten Phishing-Angriffen an den Tag legten, war erstaunlich. So verschafften sie sich den Großteil ihrer Zugänge, und ansonsten suchten sie auf GitHub nach API-Endpunkten und durchforsteten geleakte Schlüssel.
    Er mochte die automatischen Scanner von GitHub nicht besonders.
    Verwandter Artikel: Pressemitteilung des US-Justizministeriums

    • Im Bereich Cybersicherheit ist der Mensch oft das schwächste Glied.
      Deshalb überrascht es nicht, dass sie sich per Social Engineering Zugang verschafft haben.
      Interessant ist, dass sie selbst ebenfalls Opfer von Social Engineering gewesen sein könnten. Leute, die Exploits für Online-Spiele entwickeln und damit junge Hacker anlocken, schaffen am Ende eine Struktur, in der sich sicherer Geld verdienen lässt.
    • Es ist bedauerlich, wegen des Betriebs einer Sport-Streaming-Website im Bundesgefängnis gelandet zu sein.
      Ich frage mich, ob er illegales Hosting genutzt hat oder ob er über einen Zahlungsanbieter zurückverfolgt wurde.
      Ich würde auch gern wissen, ob die Seite wie Sportsurge nur Links angeboten oder die Streams tatsächlich selbst gehostet hat.
    • Ich frage mich, ob er die GitHub-Scanner nicht mochte, weil sie zu effektiv waren und seine Aktivitäten behinderten, oder weil er sie für inkompetent hielt.
    • Ich würde gern genauer erklärt bekommen, was mit „die Hartnäckigkeit für groß angelegtes Phishing ist erstaunlich“ konkret gemeint ist.
  • Aus der Entschuldigung des Unternehmens:

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    Dieser Teil hat mir wirklich gefallen. Selbst wenn er von einem LLM oder dem PR-Team geschrieben wurde, wirkte er aufrichtig.

    • Bei solchen Entschuldigungen muss ich immer an die South-Park-Parodie auf BP denken.
      Wichtiger als eine echte Entschuldigung sind die Root-Cause-Analyse und Maßnahmen, damit so etwas nicht wieder passiert.
      Nur wenn offengelegt wird, welche veralteten Systeme mit Kundendaten es noch gab und wer das Budget blockiert hat, lässt sich Vertrauen zurückgewinnen.
      Eine echte Entschuldigung sollte sich nicht in Worten, sondern in Entschädigung zeigen.
    • Die Formulierung „We are sorry.“ ist etwas, das Unternehmen nur selten sagen, deshalb wirkt sie erfrischend.
    • Statt „We are fully committed to maintaining your trust.“ halte ich „rebuilding your trust“ für passender.
    • Eine harte Reaktion wie „Wir zahlen 500.000 Dollar an Hinweisgeber, deren Informationen zur Festnahme der Täter führen“ könnte sogar zusätzlich Vertrauen schaffen.
    • Mir gefiel, dass keine abgedroschene Formulierung wie „due to an abundance of caution“ vorkam. Insgesamt wirkt es wie eine vorbildliche Reaktion.
  • Wäre ich Kunde, wäre ich wütend, aber ich denke, die Reaktion war dieses Mal so gut wie möglich.

    • Schnelle Reaktion, freiwillige Offenlegung durch das Unternehmen, aufrichtige Entschuldigung, Erklärung des Schadensumfangs — die meisten Kriterien wurden erfüllt.
    • Wenn es aber bei „es tut uns leid“ endet, steuert die Branche auf eine noch größere Katastrophe zu.
      Rechtliche Haftung, Rückerstattungen und schärfere Regulierung müssen Hand in Hand gehen.
    • Von einer „schnellen Reaktion“ zu sprechen, ist fraglich, denn sie haben den Hack nicht selbst entdeckt und erst veröffentlicht, nachdem sich der Angreifer gemeldet hatte — ob das wirklich schnell war, ist also zweifelhaft.
    • Aus Kundensicht wäre die Entscheidung, Lösegeld zu zahlen, um ein Datenleck zu verhindern, möglicherweise besser gewesen.
      Für mehr Transparenz wäre es gut gewesen, auch die Audit-Ergebnisse und das Postmortem zu veröffentlichen.
  • Die Spende wirkt eher wie Symbolpolitik als wie eine konkrete Verbesserung der Sicherheit.
    Es ist wichtiger, bekannte Sicherheitsgrundsätze einzuhalten. Mit dem Geld hätte man lieber Sicherheitspersonal einstellen oder die Systeme härten sollen.
    (Zur Einordnung: Der Hack betraf ein nicht stillgelegtes Legacy-System.)

    • Ich sehe diese Spende als Provokation gegenüber Kriminellen. Die Botschaft lautet: „Wir haben Geld, aber ihr bekommt es nicht.“
      Es ist nicht bloß moralische Selbstdarstellung, sondern ein Signal: „Wir beugen uns keinen Lösegeldforderungen.“
    • Trotzdem ist es in so einer Situation nicht schlecht, ein positives Signal zu senden.
      Hätten sie Lösegeld gezahlt, hätte das womöglich noch mehr Angriffe provoziert.
      Selbst wenn Geld verloren geht, ist es klüger, es für etwas Sinnvolles einzusetzen.
    • Im Moment denke ich: Moralisches Signalgeben ist immer noch besser als unmoralisches Signalgeben.
    • „Virtue Signaling“ wird oft verwendet, um heuchlerisches Verhalten zu kritisieren, aber wie hier nicht mit Kriminellen zu verhandeln und stattdessen Sicherheitsforschung zu unterstützen, ist langfristig der richtige Weg.
    • Aus Kundensicht könnte die Zahlung von Lösegeld den Schaden dennoch verringern.
      Zwar hätte die Finanzierung von Kriminellen Nebenwirkungen, aber ohne Zahlung könnten Kunden am Ende noch größeren Schaden erleiden.
  • Die Formulierung „Der Angreifer verschaffte sich über ein Cloud-Storage-System eines Drittanbieters Zugang“ wirkt etwas wie Abwälzen von Verantwortung.

    • Ich frage mich, wie anders das Unternehmen reagiert hätte, wenn die Angreifer auch an sensible Daten gelangt wären.
    • Die meisten Codebasen von Unternehmen sind nach wie vor voller Legacy-Technologien.
      Selbst wenn so ein Vorfall passiert, wird eine Woche lang darüber gespottet, und dann ist es vorbei. Am Ende ändert sich fast nichts grundlegend.
  • Ich halte diese öffentliche Reaktion und die Spende für eine mutige Entscheidung.
    Perfekte Sicherheit ist unmöglich, und solange noch kein Postmortem vorliegt, ist vorschnelle Kritik schwierig.
    Dass nichts vertuscht wurde und man mit einer Spende an die Wissenschaft einen gemeinwohlorientierten Ansatz gewählt hat, verdient Anerkennung.

    • Auf Hacker News gilt eine zynische Haltung oft als eine Art intellektueller Überlegenheit.
  • Wenn man die Formulierung „das für interne Betriebsdokumente und Händler-Onboarding-Unterlagen verwendete System“ liest, handelt es sich wahrscheinlich um im KYC-Prozess gesammelte Dokumente.
    Also möglicherweise Unternehmensunterlagen oder Scans von Pässen und Ausweisen.
    Solche Daten bergen ein hohes Risiko für Identitätsdiebstahl und können über Jahre hinweg gültig bleiben.

    • Allerdings ist es eher unwahrscheinlich, dass Passscans zusammen mit normalen KYB-Dokumenten gespeichert wurden.
      Seit der DSGVO werden solche sensiblen Daten in separaten Sicherheitsbereichen aufbewahrt.
      Wahrscheinlich war es einfach ein Speicherort für PDFs oder Fragebogendokumente, den das Onboarding-Team genutzt hat.
  • Selbst wenn „weniger als 25 % der Kunden betroffen waren“, wäre ich, falls ich dazugehörte, mit einer bloßen Geste ohne Entschädigung kaum zufrieden.

  • „OXCIS“ steht für das Oxford Centre for Islamic Studies, also ist das wohl nicht gemeint.
    Der tatsächliche Empfänger der Spende scheint das Cyber-Security-Forschungszentrum der University of Oxford zu sein.

  • Nach meiner Erfahrung in der Fintech-Branche handelt es sich bei den diesmal geleakten Daten offenbar um KYB-Dokumente von Händlern.
    Diese dienen der Bewertung von Geschäftsrisiken und sind nicht so sensibel wie Zahlungsdaten oder PANs.
    Natürlich ist ein Hack schlecht, aber solche Daten sind teils ohnehin öffentlich zugänglich.
    Dass das Unternehmen dies transparent offengelegt hat, ist positiv zu bewerten.

    • Allerdings enthalten KYB-Dokumente oft Pässe und Steuer-IDs der wirtschaftlich Berechtigten oder Vorstandsmitglieder.
      Deshalb besteht auch ein Risiko für Identitätsdiebstahl bei wohlhabenden Personen.