Ein Laptop steht in der Mitte eines Tisches, während zwei Hände tippen.

Foto: Dmytro Tyschtschenko (Shutterstock)

Anscheinend waren für den Zugriff auf 16 interne Datenbanken, die von Bundesbehörden verwendet werden, nur ein Benutzername und ein Passwort erforderlich.

Internet-Sicherheitsblogger Brian Krebs gemeldet Donnerstag, dass Hacker auf mehr als ein Dutzend Portale der US-Strafverfolgungsbehörden des Justizministeriums zugegriffen hatten, einschließlich derer, die von der Drug Enforcement Agency und dem FBI verwendet wurden. Krebs wurde darauf hingewiesen, dass Hacker Berichten zufolge in der Lage waren, das Netzwerk über ein DEA-System zu infiltrieren, das Informationen und Analysen enthält, die für laufende Untersuchungen nützlich sind.

Der Hacker verschaffte sich offenbar am 8. Mai über das Portal EPIC System der DEA Zugang zu den Datenbanken, das sich vom Portal esp.usdoj.gov unterscheidet, das eine viel strengere behördliche Authentifizierung erfordert. Krebs schrieb, dass das EPIC-System offenbar nur einen Benutzernamen und ein Passwort erfordert, ohne dass dies auch nur verlangt wird tAuthentifizierung in zwei Schrittenn.

Der Tippgeber teilte mit Krebs mehrere Screenshots von Eigentumsaufzeichnungen für Dinge wie Waffen, Fahrzeuge und Drohnen. Diese Daten könnten für nationale oder internationale kriminelle Gruppen sehr nützlich sein, so der Informatikforscher Nicholas Weaver von der UC Berkeley, der Krebs sagte: „Ich glaube nicht, dass das so ist [people] erkennen, was sie bekommen haben, wie viel Geld die Kartelle für den Zugang dazu zahlen würden.“

Die Agentur antwortete nicht auf die Bitte von Gizmodo um weitere Kommentare. Die DEA teilte Krebs mit, dass sie den gemeldeten Hack untersuchen und sagte, dass die Agentur „Cybersicherheit und Informationen über Eindringlinge ernst nimmt“.

Die Daten wurden Krebs über einen mutmaßlichen Administrator von Doxbin zugespielt, das als Drehscheibe für Personen dient, die private Informationen online veröffentlichen. Doxbin hat wichtige Verbindungen zur Teenager-Hacking-Gruppe LAPSUS$, die für Verstöße gegen einige der weltweit verantwortlich ist größten Technologieunternehmen. Auch nachdem angebliche Anführer der Gruppe Anfang dieses Jahres festgenommen wurden, Hackern wurde immer noch gezeigt, wie sie Benutzer- und Unternehmensdaten stehlen.

LAPSUS$-Hacker haben ihre gestohlenen Daten zuvor in halbsichere Telegram-Chats hochgeladen, aber bis Donnerstagmittag schien die Gruppe keine Daten im Zusammenhang mit dem angeblichen Hack auf ihrem Hauptkanal zu veröffentlichen. Gruppen-Hacker sind bereits bekannt sich als Strafverfolgungs-E-Mails ausgeben um Benutzerdaten von großen Technologieunternehmen zu erhalten.

Krebs schätzte, dass EPIC nicht die einzige Regierungsdatenbank war, die nur einen einzigen Benutzernamen und ein einziges Passwort erfordert Zugriff, wenn man bedenkt, dass es 3.330 Ergebnisse gibt, die auf a angezeigt werden Inventar des DOJ.

Er kritisierte ferner die offensichtliche Nachlässigkeit der Regierung bei der Sicherheit und sagte, wenn informelle Teenager-Hacking-Gruppen einbrechen könnten, dann könnten auch staatlich geförderte Gruppen einfachen Zugang haben.

„Es ist längst an der Zeit, dass die US-Bundesregierung eine umfassende Überprüfung der Authentifizierungsanforderungen durchführt, die an Regierungsportale gebunden sind, die mit sensiblen oder privilegierten Informationen handeln“, schrieb Krebs.

Anzeige

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein