Durch eine API, die nicht ausreichend vor unbefugten Zugriffen geschützt war, konnten Betrüger Zugriff auf Mailkonten von Nutzern des US-amerikanischen Telekommunikationsanbieters AT&T erlangen. Anschließend wurden den Opfern mithilfe der Mailkonten Krypto-Währungen geklaut.

Laut Techcrunch waren E-Mail-Adressen von AT&T-Domains und -Diensten betroffen (att.net, sbcglobal.net, bellsouth.net etc.). Selbst der zusätzliche Sicherheitsmechanismus: Zwei-Faktor-Authentifizierung (2FA), der von den Opfern verwendet wurde, konnte den Missbrauch nicht verhindern.

Eigentlich soll der erweiterte Schutz durch Mehr-Faktor-Authentifizierung sicherstellen, dass wirklich nur der Besitzer des zusätzlichen Faktors Zugriff auf den Dienst erhält. So wird beispielsweise verhindert, dass Zugangsdaten, die aus Datenlecks erbeutet wurden, genutzt werden, um unbefugten Zugriff zu erlangen.

Jedoch hat ältere Software, wie der IMAP-Zugang zu E-Mails, keine Möglichkeit einen zweiten Faktor auszuwerten. Zur Prüfung der Zugangsberechtigungen nutzen die meisten Programme und Dienste noch Nutzername und Passwort. In der Regel bieten Mail-Hoster an, ein anwendungsspezifisches Passwort zu erstellen, das beispielsweise lediglich Zugriff auf E-Mails, nicht jedoch auf das komplette Nutzerkonto und die zugehörigen Einstellungen gibt.

Mithilfe der API von AT&T gelang es den Cyberkriminellen sich anwendungsspezifische Passwörter erstellen zu lassen, mit denen ihnen die betroffenen Mail-Konten offen standen. Von dort aus haben sie unter anderem Passwörter für lukrative Dienste wie Krypto-Börsen zurückgesetzt.

Ein Unternehmenssprecher von AT&T berichtete demnach, dass "die unbefugte Erstellung von sicheren E-Mail-Schlüsseln entdeckt wurde, die in einigen Fällen verwendet werden können, um auf ein E-Mail-Konto zuzugreifen, ohne ein Passwort zu benötigen". "Wir haben unsere Sicherheitskontrollen aktualisiert, um derartige Aktivitäten zu verhindern. Als Vorsichtsmaßnahme haben wir bei einigen E-Mail-Konten proaktiv die Passwörter zurückgesetzt", teilte der Sprecher mit. Weiter sagte er, dass "dieser Vorgang alle sicheren E-Mail-Schlüssel gelöscht hat, die erstellt wurden", dabei ging er jedoch nicht weiter daraufein wie viele Konten betroffen waren.

Zudem liegt Techcrunch ein Screenshot von Telegram vor, in dem die Angreifer behaupten, die gesamte Angestellten-Datenbank von AT&T zu haben, womit sie Zugang zu internen AT&T-Portalen für Angestellte hätten. Allerdings fehle ihnen derzeit noch ein Zertifikat, um sich mit dem AT&T-VPN-Server zu verbinden. Laut einem Tippgeber von heise, haben die Täter inzwischen Zugang zu AT&Ts internem VPN. Dies wurde jedoch vom Unternehmenssprecher abgestritten: "Bei diesem Exploit wurde nicht in ein System eingegriffen. Die Angreifer nutzten einen API-Zugang".

Es bleibt zunächst unklar, ob die Cyberkriminellen tatsächlich interne Daten abgreifen konnten.

(jl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE