DatenschutzSchwachstellenCyberkriminalität

Europäische Kommission bestätigt Datenpanne durch Trivy-Supply-Chain-Angriff

Europäische Kommission bestätigt Datenpanne durch Trivy-Supply-Chain-Angriff
Zusammenfassung

Die Europäische Kommission hat einen erheblichen Datenschutzvorfall bestätigt, bei dem Hacker über 300 Gigabyte Daten aus ihrer AWS-Cloudumgebung gestohlen haben. Der Angriff fand am 24. März statt und war möglich, weil die Kommission unwissentlich eine kompromittierte Version des Vulnerability-Scanners Trivy verwendete, die die Hackergruppe TeamPCP in einem Supply-Chain-Angriff auf den Entwickler Aqua Security manipuliert hatte. Mit dem gestohlenen AWS-API-Schlüssel verschafften sich die Angreifer Zugriff auf mehrere Cloud-Konten und exfiltrierten umfangreiche Datenmengen, die persönliche Informationen wie Namen, E-Mail-Adressen und Benutzernamen von bis zu 71 Kunden des Europa-Webhosting-Services enthielten. Der Vorfall betrifft nicht nur interne Daten der Kommission, sondern auch Informationen von mindestens 29 weiteren EU-Institutionen. Für deutsche Nutzer, Unternehmen und Behörden ist dieser Vorfall bedeutsam, da er die Risiken von Supply-Chain-Attacken und Cloud-Sicherheit unterstreicht. Das Incident zeigt, wie verwundbar selbst hochrangige Institutionen gegenüber kompromittierten Open-Source-Tools sind, die über reguläre Update-Kanäle verbreitet werden, und verdeutlicht die Notwendigkeit verschärfter Sicherheitsmaßnahmen bei der Verwendung externer Software-Abhängigkeiten.

Die Cybersicherheits-Abteilung der EU (CERT-EU) hat jetzt Details zum genauen Ablauf des Angriffs offengelegt. Demnach nutzten die Angreifer der Hacker-Gruppe TeamPCP einen kompromittierten AWS-API-Schlüssel, um sich Zugang zur Cloud-Infrastruktur zu verschaffen, die das Europa.eu-Hosting-Portal betreibt. Dies ist besonders problematisch, da die Europäische Kommission die manipulierte Version von Trivy unwissentlich über normale Software-Update-Kanäle erhalten hatte.

Nach dem ersten Zugriff arbeiteten die Angreifer systematisch vor. Sie erstellten neue Zugangsschlüssel zu weiteren AWS-Konten und führten Aufklärungsoperationen durch. Am selben Tag setzte die Hacker-Gruppe das Tool TruffleHog ein – ein bekanntes Programm zum Scannen und Validieren von AWS-Zugangsdaten durch Aufrufe des Security Token Service (STS).

Das Ausmaß der Datenexfiltration ist erheblich: Insgesamt wurden 340 Gigabyte unkomprimierter Daten gestohlen, die sich auf Webseiten von bis zu 71 Kunden verteilen. Darunter befinden sich 42 interne Kunden der Europäischen Kommission sowie mindestens 29 weitere EU-Institutionen. Die kompromittierten Daten enthalten Namen, E-Mail-Adressen und Benutzernamen, hauptsächlich von EC-Webseiten. Zusätzlich wurden etwa 2,22 Gigabyte automatisierte Benachrichtigungen und Bounce-Back-Meldungen erbeutet, die originale Benutzerinformationen enthalten können.

Besonders bemerkenswert ist die schnelle Reaktion der Täter: Bereits am 28. März – nur vier Tage nach dem Angriff – veröffentlichte die berüchtigte Hacker-Gruppe ShinyHunters die gestohlenen Daten auf ihrer Tor-basierten Leak-Website als Erpressungsmittel.

Zum Schutz reagierte die Europäische Kommission rasch: Die betroffenen AWS-Konten wurden deaktiviert, die kompromittierten Anmeldedaten rotiert und die zuständigen Datenschutzbehörden benachrichtigt. CERT-EU versichert, dass interne Systeme der Kommission nicht betroffen waren. Derzeit wird eine umfassende Analyse der mit den gehosteten Webseiten verknüpften Datenbanken durchgeführt – ein aufwändiger Prozess angesichts des Volumens und der Komplexität der Informationen.

Ähnliche Artikel