"Sie wollte Geld und sie wollte prahlen"

Ehemalige AWS-Mitarbeiterin für Capital-One-Hack verurteilt

Uhr
von Coen Kaat und yzu

Eine ehemalige AWS-Mitarbeiterin ist für den Hack von AWS-Kunden verurteilt worden. Sie stahl die Daten von über 100 Millionen Personen - darunter Sozialversicherungsnummern. Betroffen war unter anderem der US-amerikanische Finanzdienstleister Capital One.

(Source: Sebastian Duda / Fotolia.com)
(Source: Sebastian Duda / Fotolia.com)

Ein US-amerikanisches Gericht hat eine ehemalige Mitarbeiterin von Amazon Web Services (AWS) verurteilt. Die heute 36-Jährige hatte vor rund drei Jahren ein Tool entwickelt, mit dem sie nach falsch konfigurierten AWS-Kundenkonten suchen konnte, wie das United States Departement of Justice (DOJ) mitteilt. Zu dem Zeitpunkt war sie bereits nicht mehr für den Cloud-Computing-Anbieter tätig.

Die Verurteilte drang in die Server von über 30 AWS-Kunden ein - darunter der US-amerikanische Finanzdienstleister Capital One - und stahl Daten wie etwa Sozialversicherungsnummern. Der Vorfall gehört zu den grössten Hacks in den USA: Mehr als 100 Millionen Personen waren vom Datendiebstahl bei Capital One betroffen. In einigen Fällen nutzte sie den Zugang auch, um die Rechenleistung anzuzapfen und damit nach Kryptowährungen zu schürfen.

Keine ethische Hackerin

Vor Gericht wollte die Ex-AWS-Mitarbeiterin sich als ethische Hackerin darstellen, die den Unternehmen helfen wollte. Das Gericht sah dies anders. Sie sei "weit davon entfernt, eine ethische Hackerin zu sein" und "nutzte ihre Hacking-Fähigkeiten, um die persönlichen Daten von mehr als 100 Millionen Menschen zu stehlen und Computerserver zu kapern, um Kryptowährungen zu schürfen", sagt US-Staatsanwalt Nick Brown.

"Sie wollte Daten, sie wollte Geld und sie wollte prahlen", formulierte es der stellvertretende US-Staatsanwalt Andrew Friedman in seinem Schlussplädoyer während des einwöchigen Prozesses. Laut der Mitteilung des DOJ gab die Verurteilte etwa per SMS und in Onlineforen mit ihrem illegalen Verhalten an. Über diese Foren kam das FBI ihr auch auf die Schliche.

Capital One kam der Hack teuer zu stehen. Der Finanzdienstleister musste eine Geldstrafe in Höhe von 80 Millionen US-Dollar zahlen. Klagen von Kunden wurden mit zusätzlichen 190 Millionen Dollar beigelegt.

Strafmass wird noch festgelegt

Über das endgültige Strafmass wird am 15. September entschieden. Die Amerikanerin könnte potenziell für einige Jahre ins Gefängnis wandern. Sie wurde wegen sieben Bundesverbrechen für schuldig befunden. Darunter Wire Fraud (Maximalstrafe 20 Jahre Gefängnis), unrechtmässiger Zugriff auf geschützte Computer und die Beschädigung geschützter Computer (Maximalstrafen von je 5 Jahren Gefängnis).

Das tatsächliche Strafmass kann sehr wohl viel tiefer liegen als die potenzielle Maximalstrafe. Dies zeigt etwa der Fall des Ende 2021 verurteilten Betreibers einer DDoS-Plattform. Im Juni dieses Jahres entschied ein Gericht, dass er für 2 Jahre ins Gefängnis soll, wie Sie hier nachlesen können. Die mögliche Maximalstrafe lag bei 35 Jahren.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_260296