Die Europäische Kommission hat ihre Mitteilung erst veröffentlicht, nachdem BleepingComputer um nähere Angaben zu dem Cyberangriff gebeten hatte. Darin betont das Hauptexekutivorgan der EU, die internen Systeme seien nicht betroffen gewesen. Man werde die Lage weiter beobachten, alle notwendigen Maßnahmen zur Sicherheit der internen Systeme und Daten ergreifen und die Erkenntnisse aus dem Vorfall nutzen, um die eigene Cybersicherheit weiter zu stärken.

Weitere Einzelheiten zum Angriff nannte die Kommission nicht. Der Täter, der die Verantwortung übernahm, erklärte gegenüber BleepingComputer jedoch, vor der Sperrung seines Zugangs mehr als 350 GB an Daten kopiert zu haben, darunter mehrere Datenbanken. Wie genau die AWS-Konten der Kommission kompromittiert wurden, legte er nicht offen, lieferte aber Screenshots als Beleg dafür, dass er Zugriff auf Daten einiger Mitarbeiter der Kommission hatte.

Die Erpressergruppe ShinyHunters führt die Europäische Kommission inzwischen auf ihrer Leak-Seite im Darknet. Dort behauptet sie, Datenbestände von Mailservern, Datenbanken, vertrauliche Dokumente, Verträge und weiteres sensibles Material entwendet zu haben. Veröffentlicht wurde ein Archiv mit mehr als 90 GB an Dateien, die angeblich aus der kompromittierten Cloud-Umgebung der Kommission stammen.

In den vergangenen Monaten reklamierte ShinyHunters bereits Angriffe auf Infinite Campus, CarGurus, Canada Goose, Panera Bread, Betterment, SoundCloud, PornHub und den Dating-Konzern Match Group, zu dem unter anderem Tinder, Hinge, Meetic, Match.com und OkCupid gehören. Einige dieser Opfer wurden im Zuge einer groß angelegten Voice-Phishing-Kampagne (Vishing) angegriffen, die auf Single-Sign-on-Konten (SSO) bei Okta, Microsoft und Google in mehr als 100 namhaften Organisationen abzielte.

Für die Kommission ist es nicht der erste derartige Fall: In diesem Jahr hatte sie bereits einen Datendiebstahl gemeldet, nachdem die zur Verwaltung der Mitarbeitergeräte genutzte Plattform für mobiles Gerätemanagement gehackt worden war. Beide Vorfälle wurden bekannt, nachdem die Kommission eine neue Cybersicherheitsgesetzgebung vorgeschlagen hatte, die die Abwehr der Mitgliedstaaten gegen staatlich unterstützte Akteure und Cyberkriminelle mit Blick auf kritische Infrastrukturen stärken soll.