Datenhack bei Star Alliance, Miles & More – Eine erste Einschätzung des Acronis CPOC
Schaffhausen – Mit heutigem Datum erhielten Tausende Mitglieder des Meilensammelprogramms Miles & More von SWISS und Hunderttausende weltweit von ihren Airlines folgendes eMail:
Sehr geehrter …………….
zwischen dem 21.01. und dem 11.02.2021 hat es bei einem Dienstleister einer unserer Star Alliance Partner einen Datenvorfall gegeben. Bei dem Vorfall gelang es Hackern, in ein Reservierungssystem einzudringen und Kundendaten von Star Alliance Partnern abzugreifen.
Dabei handelt es sich ausschließlich um Informationen zur Servicekartennummer, zum Statuslevel und teilweise zum Namen. Leider sind auch Ihre Kundendaten von diesem Vorfall betroffen. Fest steht: Es wurden in diesem Zusammenhang keine Passwörter, E-Mail-Adressen oder anderen persönlichen Kundendaten entwendet.
Transparenz ist für uns bei Miles & More besonders wichtig. Deshalb informieren wir Sie hiermit über den Vorfall – obwohl er außerhalb der Lufthansa Group stattgefunden hat. Sie müssen in diesem Zusammenhang nicht aktiv werden.
Was hat es damit auf sich? Erste Antworten des Acronis CPOC von Candid Wüest, Vice President Cyber Protect Research bei Acronis, auf die sich aus dem Datendiebstahl ergebenden potentiellen Probleme:
Was sind die potenziellen Verwendungszwecke für die gestohlenen Daten & wie viel könnte es im Dark Net kosten?
Wenn die öffentlich bekannt gegebenen Informationen korrekt sind, dann wurden nur die Nummer, der Tier-Status und in einigen Fällen der Mitgliedsname kompromittiert – in diesem Fall handelt es sich nicht um kritische Daten und diese sind für Cyberkriminelle ohnehin von geringem Nutzen.
Dennoch können sie für Spam- und Phishing-Kampagnen und sogar zum Stehlen von Vielfliegerboni verwendet werden: Cyber-Kriminelle können versuchen, Meilen von den kompromittierten Konten auszugeben, aber wenn die Fluggesellschaft richtig damit umgeht, wird ihnen das kaum gelingen.
Stimmen Sie zu, dass dies ein «hochentwickelter Angriff» war?
Es ist schwer zu sagen, da die Ermittlungen noch andauern, aber gehackte Server könnten einfach eine ungepatchte Schwachstelle haben oder es könnte sein, dass Admin-Anmeldedaten durchgesickert sind. Das würde kaum als ausgeklügelter Angriff eingestuft werden.
Was raten Sie der SWISS und anderen, wie sie sich am besten vor solchen Angriffen schützen können?
Zuallererst sollten sie ihre Lieferkette und den Datenfluss überprüfen. Wenn sie wissentlich Daten auch auf Servern von Drittanbietern gespeichert haben, müssen sie Audits und Tests anfordern – für Schwachstellen und die allgemeine Sicherheitslage aller beteiligten Datenspeicherdienste. Natürlich müssen die Server mit geeigneten Cyber-Schutzlösungen ausgestattet sein, und für die Anmeldung muss eine Multi-Faktor-Authentifizierung verwendet werden, wobei regelmässig Patches eingespielt werden müssen.
Wie wurde der Vorfall Ihrer Meinung nach gehandhabt?
Sita bestätigte, dass es am 24. Februar gehackt wurde. Das Mail der SWISS an ihre betroffenen Miles and More Mitglieder wurde erst heute verschickt. Während Sita behauptet, die Partner sofort informiert zu haben, kam die öffentliche Ankündigung erst am 4. März heraus – dieser Teil hätte schneller erledigt werden können.
Was die allgemeine Kommunikation mit den Kunden angeht, so wurde sie auf einem erwarteten Niveau durchgeführt, obwohl wir im Moment noch keine offizielle Erklärung auf der SWISS Website über den Vorfall sehen – die Kunden wurden persönlich per E-Mail informiert.
Ist es ein Trend, Anbieter/Dritte/Lieferanten anzugreifen, anstatt die Hauptziele selbst anzugreifen?
Es wird definitiv zu einem Trend. Lieferanten anzugreifen, bedeutet eine grössere Anzahl von Opfern und weniger Arbeit für die Angreifer – was zu grösseren Gewinnen führt.
Es gibt gezielte Angriffe und es gibt opportunistische Angriffe. Bei gezielten Angriffen sind die Kriminellen darauf aus, Informationen über bestimmte Ziele zu erhalten. Wenn sie nicht direkt in das Ziel eindringen können, nehmen sie sich zuerst die Lieferanten oder Partner des Ziels vor.
Bei opportunistischen Angriffen haben es die Hacker auf alles abgesehen, was sie leicht angreifen können. Legacy-Systeme und nicht gewartete Systeme sind ein hervorragendes Ziel für opportunistische Hacker. (Acronis/mc)