In einer Episode, die die Verwundbarkeit globaler Computernetzwerke unterstreicht, erbeuteten Hacker Zugangsdaten für Rechenzentren in Asien, die von einigen der weltweit größten Unternehmen genutzt werden, eine potenzielle Fundgrube für Spionage oder Sabotage, so ein Forschungsunternehmen für Cybersicherheit.
Bei den zuvor nicht gemeldeten Daten-Caches handelt es sich um E-Mails und Passwörter für Kundensupport-Websites für zwei der größten Rechenzentrumsbetreiber in Asien: GDS Holdings und in Singapur ansässige ST Telemedia Global Data Centres , laut Resecurity Inc., das Cybersicherheitsdienste anbietet und Hacker untersucht. Betroffen waren rund 2.000 Kunden von GDS und STT GDC. Hacker haben sich in die Konten von mindestens fünf von ihnen eingeloggt, darunter Chinas wichtigste Devisen-und Schuldenhandelsplattform und vier weitere aus Indien, so Resecurity, das sagte, es habe die Hacking-Gruppe infiltriert.
Es ist nicht klar was – wenn überhaupt – die Hacker mit den anderen Logins gemacht haben. Die Informationen enthielten nach Angaben der Sicherheitsfirma und Hunderte von Seiten Anmeldeinformationen in unterschiedlicher Anzahl für einige der größten Unternehmen der Welt, darunter Alibaba Group Holding, Amazon.com, Apple, BMW AG, Goldman Sachs Group, Huawei Technologies, Microsoft und Walmart von Dokumenten, die Bloomberg überprüft hat.
Auf Fragen zu den Ergebnissen von Resecurity antwortete GDS in einer Erklärung, dass eine Kundensupport-Website im Jahr 2021 verletzt wurde. Es ist nicht klar, wie die Hacker an die STT-GDC-Daten gekommen sind. Das Unternehmen sagte, es habe keine Beweise dafür gefunden, dass sein Kundendienstportal in diesem Jahr kompromittiert worden sei. Beide Unternehmen sagten, dass die gefälschten Zugangsdaten kein Risiko für die IT-Systeme oder Daten der Kunden darstellten.
Resecurity und Führungskräfte von vier großen betroffenen US-Unternehmen sagten jedoch, dass die gestohlenen Zugangsdaten eine ungewöhnliche Bedrohung darstellten ernsthafte Gefahr, vor allem weil die Kundensupport-Website kontrolliert, wer physisch auf die in den Rechenzentren untergebrachte IT-Ausrüstung zugreifen darf. Diese Führungskräfte, die von Bloomberg News von den Vorfällen erfuhren und die Informationen mit ihren Sicherheitsteams bestätigten, baten darum, nicht identifiziert zu werden, da sie nicht befugt waren, öffentlich über die Angelegenheit zu sprechen.
Das Ausmaß der Daten Der von Resecurity gemeldete Verlust verdeutlicht das wachsende Risiko, dem Unternehmen ausgesetzt sind, weil sie von Dritten abhängig sind, um Daten und IT-Geräte unterzubringen und ihren Netzwerken dabei zu helfen, globale Märkte zu erreichen. Sicherheitsexperten sagen, dass das Problem in China besonders akut ist, wo Unternehmen mit lokalen Datendienstanbietern zusammenarbeiten müssen.
„Das ist ein Alptraum, der auf uns wartet“, sagte Michael Henry, ehemaliger Chief Information Officer von Digital Realty Trust, einer der größten US-Rechenzentrumsbetreiber, als Bloomberg über die Vorfälle informiert wurde. (Digital Realty Trust war von den Vorfällen nicht betroffen). Das Worst-Case-Szenario für jeden Rechenzentrumsbetreiber ist, dass Angreifer irgendwie physischen Zugang zu den Servern der Kunden erhalten und bösartigen Code oder zusätzliche Ausrüstung installieren, sagte Henry. „Wenn sie das erreichen, können sie die Kommunikation und den Handel möglicherweise in großem Umfang stören.“
GDS und STT GDC sagten, sie hätten keine Anzeichen dafür, dass so etwas passiert sei, und dass ihre Kerndienste dies nicht getan hätten beeinträchtigt.
Die Hacker hatten mehr als ein Jahr lang Zugriff auf die Anmeldeinformationen, bevor sie sie letzten Monat für 175.000 $ (fast Rs. 1,45 crore) im Dark Web zum Verkauf anboten und sagten, sie seien von dem überwältigt worden Umfang davon laut Resecurity und ein Screenshot des Beitrags, der von Bloomberg überprüft wurde.
„Ich habe einige Ziele verwendet“, sagten die Hacker in dem Beitrag. „Aber nicht in der Lage, da die Gesamtzahl der Unternehmen über 2.000 liegt.“
Die E-Mail-Adressen und Passwörter könnten es Hackern ermöglicht haben, sich auf den Kundendienst-Websites als autorisierte Benutzer auszugeben, so Resecurity. Die Sicherheitsfirma entdeckte die Daten-Caches im September 2021 und sagte, sie habe auch Beweise dafür gefunden, dass Hacker sie verwendet hätten, um auf Konten von GDS-und STT-GDC-Kunden zuzugreifen, noch im Januar, als beide Rechenzentrumsbetreiber laut Resecurity das Zurücksetzen von Kundenkennwörtern erzwangen.
Auch ohne gültige Passwörter wären die Daten immer noch wertvoll – so könnten Hacker laut Resecurity gezielte Phishing-E-Mails gegen Personen mit High-Level-Zugriff auf ihre Unternehmensnetzwerke erstellen.
Die meisten der betroffenen Unternehmen, die Bloomberg News kontaktierte, darunter Alibaba, Amazon, Huawei und Walmart, lehnten eine Stellungnahme ab. Apple hat nicht auf Nachrichten mit der Bitte um Kommentare geantwortet.
In einer Erklärung sagte Microsoft: „Wir suchen regelmäßig nach Bedrohungen, die Microsoft beeinträchtigen könnten, und wenn potenzielle Bedrohungen identifiziert werden, ergreifen wir geeignete Maßnahmen, um Microsoft und unsere Kunden zu schützen.“ Ein Sprecher von Goldman Sachs sagte: „Wir haben zusätzliche Kontrollen zum Schutz vor dieser Art von Sicherheitsverletzungen eingerichtet und sind überzeugt, dass unsere Daten nicht gefährdet waren.“
Der Autohersteller BMW sagte, er sei sich dessen bewusst Ausgabe. Ein Unternehmenssprecher sagte jedoch: „Nach der Bewertung hat das Problem nur sehr begrenzte Auswirkungen auf das BMW-Geschäft und hat BMW-Kunden und produktbezogenen Informationen keinen Schaden zugefügt.“ Der Sprecher fügte hinzu: „BMW hat GDS aufgefordert, das Informationssicherheitsniveau zu verbessern.“
GDS und STT GDC sind zwei der größten Anbieter von „Colocation“-Diensten in Asien. Sie fungieren als Vermieter und vermieten Flächen in ihren Rechenzentren an Kunden, die dort ihre eigene IT-Ausrüstung installieren und verwalten, um in der Regel näher an Kunden und Geschäftsbetrieben in Asien zu sein. GDS gehört zu den drei führenden Colocation-Anbietern in China, dem zweitgrößten Markt für den Service weltweit nach den USA, Laut der Synergy Research Group belegt Singapur den sechsten Platz.
Die Unternehmen sind es auch verflochten: eine Unternehmensanmeldung zeigt, dass Singapore Technologies Telemedia Pte, die Muttergesellschaft von STT GDC, 2014 eine 40-prozentige Beteiligung an GDS erworben hat.
Resecurity Chief Executive Officer Gene Yoo sagte, seine Firma habe die Vorfälle im Jahr 2021 aufgedeckt, nachdem einer ihrer Agenten verdeckt eine Hackergruppe in China infiltriert hatte, die Regierungsziele in Taiwan angegriffen hatte.
Kurz darauf alarmierte sie GDS und STT GDC und a kleine Anzahl von Resecurity-Kunden, die waren laut Yoo und den Dokumenten betroffen.
Resecurity benachrichtigte GDS und STT GDC im Januar erneut, nachdem entdeckt worden war, dass Hacker auf Konten zugegriffen hatten, und die Sicherheitsfirma alarmierte damals laut Angaben auch die Behörden in China und Singapur Yoo und die Dokumente.
Beide Rechenzentrumsbetreiber sagten, dass sie sofort reagierten, als sie über die Sicherheitsprobleme informiert wurden, und interne Untersuchungen einleiteten.
Cheryl Lee, eine Sprecherin der Cyber Security Agency of Singapore, sagte, die Behörde „kenne den Vorfall und unterstütze ST Telemedia in dieser Angelegenheit.“ Das National Computer Network Emergency Response Technical Team/Coordination Center of China, a Nichtregierungsorganisation, die sich mit Cyber-Notfällen befasst, reagierte nicht auf Nachrichten mit der Bitte um Stellungnahme.
GDS räumte ein, dass eine Kundensupport-Website verletzt wurde, und gab an, dass es eine Schwachstelle auf der Website im Jahr 2021 untersucht und behoben habe.
„Die Anwendung, auf die Hacker abzielten, ist im Umfang und in den Informationen auf unkritische Servicefunktionen beschränkt, wie z. B. das Stellen von Ticketanfragen, das Planen der physischen Lieferung von Geräten und das Überprüfen von Wartungsberichten“, so ein Unternehmen Stellungnahme. „Anfragen, die über die Anwendung gestellt werden, erfordern normalerweise eine Offline-Nachverfolgung und-Bestätigung. Angesichts der grundlegenden Art der Anwendung führte der Verstoß zu keiner Bedrohung für den IT-Betrieb unserer Kunden.“
STT GDC sagte, es habe externe Cybersicherheitsexperten hinzugezogen, als es 2021 von dem Vorfall erfuhr. „ Das fragliche IT-System ist ein Kundenservice-Ticketing-Tool“ und „hat keine Verbindung zu anderen Unternehmenssystemen oder einer kritischen Dateninfrastruktur“, sagte das Unternehmen.
Das Unternehmen sagte, sein Kundenservice-Portal sei nicht verletzt worden im Jahr 2021 und dass die von Resecurity erhaltenen Anmeldeinformationen „eine unvollständige und veraltete Liste von Benutzeranmeldeinformationen für unsere Kunden-Ticketing-Anwendungen sind. Solche Daten sind jetzt ungültig und stellen kein Sicherheitsrisiko für die Zukunft dar.“
„Es wurden keine unbefugten Zugriffe oder Datenverluste beobachtet“, heißt es in der Erklärung von STT GDC.
Unabhängig davon Wie die Hacker die Informationen möglicherweise verwendet haben, zeigen Cybersicherheitsexperten, dass die Diebstähle zeigen, dass Angreifer neue Wege erkunden, um harte Ziele zu infiltrieren.
Die physische Sicherheit von IT-Geräten in Rechenzentren von Drittanbietern und die Systeme zur Kontrolle Der Zugriff darauf stellt Sicherheitslücken dar, die von Sicherheitsabteilungen von Unternehmen oft übersehen werden, sagte Malcolm Harkins, ehemaliger Leiter des Sicherheits-und Datenschutzangebots von Intel. Jegliche Manipulation der Rechenzentrumsausrüstung „könnte verheerende Folgen haben“, sagte Harkins.
Die Hacker erbeuteten E-Mail-Adressen und Passwörter von mehr als 3.000 Personen bei GDS – einschließlich ihrer eigenen Mitarbeiter und der ihrer Kunden – und mehr mehr als 1.000 von STT GDC, laut den von Bloomberg News überprüften Dokumenten.
Die Hacker stahlen auch Zugangsdaten für das GDS-Netzwerk von mehr als 30.000 Überwachungskameras, von denen die meisten auf einfache Passwörter wie „admin“ oder „ „admin12345“, zeigen die Dokumente. GDS beantwortete keine Frage zum angeblichen Diebstahl von Zugangsdaten für das Kameranetzwerk oder zu den Passwörtern.
Die Anzahl der Zugangsdaten für die Kundensupport-Websites war für verschiedene Kunden unterschiedlich. Den Dokumenten zufolge gab es beispielsweise 201 Konten bei Alibaba, 99 bei Amazon, 32 bei Microsoft, 16 bei Baidu, 15 bei der Bank of America, sieben bei der Bank of China, vier bei Apple und drei bei Goldman. Yoo von Resecurity sagte, dass die Hacker nur eine gültige E-Mail-Adresse und ein Passwort benötigen, um auf das Konto eines Unternehmens auf dem Kundendienstportal zuzugreifen.
Unter den anderen Unternehmen, deren Anmeldedaten von Mitarbeitern erlangt wurden, laut Resecurity und den Dokumenten, waren: Bharti Airtel in Indien, Bloomberg LP (Eigentümer von Bloomberg News), ByteDance, Ford Motor, Globe Telecom auf den Philippinen, Mastercard, Morgan Stanley, Paypal Holdings, Porsche AG, SoftBank, Telstra Group in Australien, Tencent Holdings, Verizon Communications und Wells Fargo & Co.
In einer Erklärung sagte Baidu: „Wir glauben nicht, dass irgendwelche Daten kompromittiert wurden. Baidu legt großen Wert auf die Datensicherheit unserer Kunden. Wir werden Angelegenheiten wie diese genau im Auge behalten und bei allen aufkommenden Bedrohungen der Datensicherheit in irgendeinem Teil unserer Betriebe wachsam bleiben.“
Ein Vertreter von Porsche sagte: „In diesem speziellen Fall haben wir kein Hinweis darauf, dass ein Risiko bestand.“ Ein Vertreter von SoftBank sagte, eine chinesische Tochtergesellschaft habe letztes Jahr die Verwendung von GDS eingestellt. „Es wurde weder ein Leck von Kundendaten aus dem lokalen chinesischen Unternehmen bestätigt, noch gab es irgendwelche Auswirkungen auf sein Geschäft und seine Dienstleistungen“, sagte der Vertreter.
Ein Sprecher von Telstra sagte: „Wir sind uns dessen nicht bewusst Auswirkungen auf das Geschäft nach diesem Verstoß“, während ein Vertreter von Mastercard sagte: „Obwohl wir diese Situation weiterhin beobachten, sind uns keine Risiken für unser Geschäft oder Auswirkungen auf unser Transaktionsnetzwerk oder unsere Transaktionssysteme bekannt.“
Ein Vertreter von Tencent sagte: „Uns sind keine Auswirkungen auf das Geschäft nach diesem Verstoß bekannt. Wir verwalten unsere Server direkt in Rechenzentren, wobei die Betreiber von Rechenzentrumseinrichtungen keinen Zugriff auf Daten haben, die auf Tencent-Servern gespeichert sind. Wir haben nach der Untersuchung keinen unbefugten Zugriff auf unsere IT-Systeme und Server entdeckt, die sicher und geschützt bleiben.“
Ein Sprecher von Wells Fargo sagte, dass GDS bis Dezember 2022 für die Backup-IT-Infrastruktur verwendet wurde. „GDS tat es keinen Zugriff auf die Daten, Systeme oder das Wells Fargo-Netzwerk von Wells Fargo haben“, so das Unternehmen. Alle anderen Unternehmen lehnten eine Stellungnahme ab oder antworteten nicht.
Yoo von Resecurity sagte, dass der verdeckte Ermittler seiner Firma im Januar die Hacker dazu gedrängt habe, ihnen zu zeigen, ob sie noch Zugang zu den Konten hätten. Die Hacker stellten Screenshots zur Verfügung, die zeigten, wie sie sich bei Konten von fünf Unternehmen anmeldeten und zu verschiedenen Seiten in den Online-Portalen GDS und STT GDC navigierten, sagte er. Resecurity ermöglichte es Bloomberg News, diese Screenshots zu überprüfen.
Bei GDS griffen die Hacker auf ein Konto des China Foreign Exchange Trade System zu, einem Zweig der chinesischen Zentralbank, der eine Schlüsselrolle in der Wirtschaft dieses Landes spielt und das betreibt laut den Screenshots und Resecurity die wichtigste Devisen-und Schuldenhandelsplattform der Regierung. Die Organisation reagierte nicht auf Nachrichten.
Bei STT GDC griffen die Hacker auf Konten des National Internet Exchange of India zu, einer Organisation, die Internetanbieter im ganzen Land verbindet, und auf drei weitere in Indien ansässige Organisationen: MyLink Services, Skymax Broadband Services und Logix InfoSecurity, wie die Screenshots zeigen.
Auf Anfrage von Bloomberg teilte der National Internet Exchange of India mit, dass ihm der Vorfall nicht bekannt sei, und lehnte weitere Kommentare ab. Keine der anderen Organisationen in Indien hat auf Anfragen nach Kommentaren geantwortet.
Auf die Frage nach der Behauptung, dass Hacker im Januar immer noch mit gestohlenen Zugangsdaten auf Konten zugegriffen hätten, sagte ein GDS-Vertreter: „Kürzlich haben wir mehrere neue Angriffe entdeckt vor Hackern, die die alten Kontozugangsdaten verwenden. Wir haben verschiedene technische Tools verwendet, um diese Angriffe zu blockieren. Bisher haben wir keinen neuen erfolgreichen Einbruch von Hackern festgestellt, was auf unsere Systemschwachstelle zurückzuführen ist.“
Der GDS-Vertreter fügte hinzu: „Wie wir wissen, hat ein einziger Kunde nicht zurückgesetzt eines ihrer Kontopasswörter für diese Anwendung, die einem ehemaligen Mitarbeiter von ihnen gehörte. Aus diesem Grund haben wir kürzlich für alle Benutzer ein Zurücksetzen des Passworts erzwungen. Wir glauben, dass dies ein Einzelfall ist. Es ist nicht darauf zurückzuführen, dass Hacker unser Sicherheitssystem durchbrochen haben.“
STT GDC gab an, im Januar eine Benachrichtigung über weitere Bedrohungen für Kundendienstportale in „unseren Regionen Indien und Thailand“ erhalten zu haben. „Unsere bisherigen Untersuchungen zeigen, dass es bei keinem dieser Kundendienstportale zu Datenverlusten oder Beeinträchtigungen gekommen ist“, sagte das Unternehmen.
Ende Januar, nachdem GDS und STT GDC die Passwörter der Kunden geändert hatten, meldete sich Resecurity entdeckte die Hacker, die laut Yoo die Datenbanken zum Verkauf in einem Dark-Web-Forum auf Englisch und Chinesisch veröffentlichten.
„DBs enthalten Kundeninformationen, können für Phishing, den Zugriff auf Schränke, die Überwachung von Bestellungen usw. verwendet werden Ausrüstung, Remote-Hands-Bestellungen“, heißt es in dem Beitrag. „Wer kann bei gezieltem Phishing helfen?“
© 2023 Bloomberg LP
Affiliate-Links können automatisch generiert werden – Einzelheiten finden Sie in unserer Ethikerklärung.
Einzelheiten zu den neuesten Markteinführungen und Neuigkeiten von Samsung, Xiaomi, Realme, OnePlus und Oppo und andere Unternehmen auf dem Mobile World Congress in Barcelona, besuchen Sie unseren MWC 2023 Hub.