Kreditech: Hamburger Finanz-Start-up räumt Sicherheitsvorfall ein
Nutzerdaten und Finanzunterlagen des Hamburger Finanz-Start-ups Kreditech wurden offenbar von Unbekannten erbeutet. Der Sicherheitsexperte Brian Krebs wurde Anfang des Monats von einem 19-jährigen Internetnutzer aus West Virginia auf eine Website im Darknet aufmerksam gemacht, die die Daten bereit hält. Eine Sprecherin des Unternehmens bestätigte ihm gegenüber einen “isolierten internen Sicherheitsvorfall” im November 2014. Die Hamburger Polizei habe bereits Ermittlungen eingeleitet.
Krebs zufolge hat sich eine Hackergruppe, die sich selbst “A4” nennt, zu dem Diebstahl bekannt. Sie habe mehrere hundert Gigabyte an Daten erbeutet, darunter auch die Konfigurationsdateien der internen Server des Unternehmens. Außerdem enthielt die Website “zahllose Dokumente, gescannte Ausweise, Führerscheine und Kreditvereinbarungen”, die von Kreditechs Servern stammen sollen.
“Das Unternehmen, das millionenschwere Investitionen erhalten hat, hat wahrscheinlich entschieden, sie für alles Mögliche auszugeben, nicht aber für die Sicherheit der Daten ihrer Kunden”, zitiert Krebs aus einer auf der Website veröffentlichten Stellungnahme der Hacker. Die Sicherheit des Unternehmens sei “nicht schlecht”, sie sei “gar nicht vorhanden”. Die Gruppe kündigte an, alle entwendeten Daten zu veröffentlichen.
Kreditech vermute, es seien nur Daten von Nutzern entwendet worden, die einen Kreditantrag gestellt hätten – Daten von Kunden, also von Nutzern, denen ein Kredit gewährt wurde, seien nicht betroffen, so Krebs weiter. Die Kreditech-Sprecherin Anna Friedrich sagte ihm zufolge, ein Formular auf der Kreditech-Website habe Daten von Kreditanfragen zwischengespeichert. Sie seien erst nach einigen Tagen gelöscht worden. Einen Teil dieser Daten hätten die Hacker erbeutet.
Corey Wells, der Krebs den Tipp gegebn hat, fand die Daten nach eigenen Angaben mit einem von ihm entwickelten Crawler, der Websites indexieren soll, die nur über die Anonymisierungssoftware Tor erreichbar sind. Von ihm gefundene Log-Dateien mit dem Datum 19. August 2014 legen die Vermutung nahe, dass der Einbruch bereits vor sieben Monaten begann.
Wells zweifelt Krebs zufolge zudem die Aussage des Start-ups an, es seien keine Kundendaten entwendet worden. “Es gibt Beträge für Überweisungen und Kontosalden”, sagte Wells. “Einige davon sehen so aus, als hätten Leute bereits Konten bei ihnen.”
Kreditech orientiert sich bei der Kreditvergabe nicht nur an der klassischen Kreditauskunft, sondern bezieht Social-Networking-Daten ein. Damit spricht es auch Kunden an, die ansonsten möglicherweise als nicht kreditwürdig gelten. In seine Risikobewertung bezieht das Unternehmen eigenen Angaben zufolge bis zu 15.000 Datenpunkte ein.
Wie TechCrunch berichtet, erhielt Kreditech Anfang des Jahres 200 Millionen Dollar Risikokapital von der US-Investmentfirma Victory Park Capital. Aus den entwendeten Daten geht laut Krebs hervor, dass der Großteil der Kunden aus Ländern wie Brasilien, Tschechien, Mexiko, Polen, Russland, Spanien, Rumänien und der Dominikanischen Republik stammt.
Update 25. März 11 Uhr 30: Inzwischen liegt ITespresso.de eine Stellungnahme des Unternehmens vor. Darin betont es noch einmal, dass man bereits 2014 sofort die Polizei informiert habe. Außerdem habe man Tests von internen und externen Experten durchführen lassen. Diese hätten bestätigt, dass der Zugriff auf das Kreditech-System von außen weder damals möglich war noch heute möglich ist. Die Kritik von Krebs an den Sicherheitsstandards bezeichnet man daher als “nicht nachvollziehbar und nicht richtig”. Es habe sich um ein “internes Problem” gehandelt und man habe inzwischen Maßnahmen ergriffen um auszuschließen, dass ein vergleichbares Problem künftig noch einmal auftritt.
[mit Material von ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.