In ihrer Erklärung grenzte die Europäische Kommission den Schaden ein: Betroffen sei die Cloud-Infrastruktur hinter dem Web-Auftritt auf Europa.eu, nicht aber die öffentlich erreichbaren Websites selbst. “Erste Ergebnisse unserer laufenden Untersuchung deuten darauf hin, dass von diesen Websites Daten entnommen wurden”, hieß es. Die Kommission benachrichtige die möglicherweise betroffenen EU-Stellen ordnungsgemäß; die Dienststellen untersuchten weiterhin das volle Ausmaß des Vorfalls. Die internen Systeme der Kommission seien nicht betroffen gewesen.

Über das Wochenende erschien auf der Website der Erpressergruppe ShinyHunters eine Mitteilung, in der die Angreifer behaupten, mehr als 350 GB an Daten erbeutet zu haben – “darunter Datenabzüge von Mailservern, Datenbanken, vertrauliche Dokumente, Verträge und viel weiteres sensibles Material”.

Gegenüber Bleeping Computer gaben die Hacker an, sie hätten es auf die AWS-Konten der Kommission abgesehen. AWS erklärte, man habe “kein Sicherheitsereignis” verzeichnet, und betonte, die Dienste hätten “wie vorgesehen funktioniert”.

Diese Aussage deutet darauf hin, dass die Angreifer sich über ein kompromittiertes Konto oder eine fehlerhafte Sicherheitskonfiguration Zugang zu den Systemen der Kommission verschafften – und nicht durch das Ausnutzen einer Schwachstelle in AWS-Produkten oder -Diensten.

Es handelt sich um den zweiten von der Kommission in diesem Jahr bestätigten Datenabfluss. Im Februar berichtete CERT-EU, Hinweise auf ein Eindringen in die IT-Infrastruktur der Kommission entdeckt zu haben, bei dem Angreifer möglicherweise auf personenbezogene Daten einzelner Mitarbeiter zugegriffen hätten.