Dell-Leak: Daten wochenlang über Dell-API abgezogen

Beim Computerhersteller Dell gab es ein Datenleck, bei dem ein Angreifer Daten von gut 49 Millionen Dell-Kunden abziehen konnte. Das sind wohl Daten aus einer Datenbank, in der Dell Kundendaten wie Name und Adresse, sowie die Hardware, die bei Dell bestellt wurde, gespeichert hat. Nun habe ich neue Informationen: Beim Hack soll eine Dell API zum Zugriff auf die Daten benutzt worden sein.

Das Dell-Datenleck

Die Woche erhielt ich aus der Leserschaft zahlreiche Hinweise, dass Dell seine Kunden per E-Mail darüber informierte, dass es ein Datenleck gegeben habe. Es wurde auf eine Datenbank zugegriffen, in der Kundendaten wie Name und Adresse, sowie die Hardware, die bei Dell bestellt wurde, gespeichert sind. Dell stufte den Vorfall zwar als "minder schwer" ein, da keine Finanzdaten entwendet wurden. Aber das Datenleck betrifft Millionen Dell-Kunden, die dort registriert waren. Die Details hatte ich im Blog-Beitrag Dell mutmaßlich gehackt, Kundendaten erbeutet (9.5.2024) veröffentlicht.

Dell-API zum Abziehen der Daten genutzt

Bleeping Computer berichtet nun in diesem Artikel, dass sich der Angreifer mit dem Alias Menelik bei der Redaktion gemeldet habe. Menelik gab gegenüber Bleeping Computer an, dass sich die Daten über ein Portal für Partner, Wiederverkäufer und Einzelhändler abgreifen ließen. "Es ist sehr einfach, sich als Partner zu registrieren. Man muss nur ein Antragsformular ausfüllen", so Menelik gegenüber Bleeping Computer. "Man gibt Unternehmensdaten ein, begründet, warum man Partner werden möchte, und dann wird man einfach zugelassen und erhält Zugang zu diesem "autorisierten" Portal. Ich habe gerade meine eigenen Konten auf diese Weise erstellt. Das ganze Verfahren dauert 24-48 Stunden."

Menelik sagt, dass er auf das Portal zugreifen konnte, indem er mehrere Konten unter gefälschten Firmennamen registrierte und innerhalb von zwei Tagen ohne Überprüfung Zugang hatte. Anschließend entwickelte der Angreifer ein Programm, das siebenstellige Service-Tags generierte und diese ab März an die Portalseite übermittelte, um die zurückgegebenen Informationen abzugreifen.

Das betreffende Portal hatte wohl keine Abfragelimits, so dass der Angreifer nach eigenen Angaben die Informationen von 49 Millionen Kundendatensätzen abgreifen konnte. Dazu wurden drei Wochen lang 5.000 Anfragen pro Minute generiert, ohne dass Dell die Versuche blockierte. Die Bedrohungsakteure gaben an, dass sie Dell am 12. und 14. April per E-Mail kontaktierten, um den Fehler an deren Sicherheitsteam zu melden – diese E-Mail liegt Bleeping Computer vor und ist im verlinkten Artikel abgebildet.

Auf Techchrunch gibt es die Meldung, die diesen Sachverhalt ebenfalls thematisiert. Es sieht so aus, als ob Angriffe über APIs immer häufiger zum Abziehen von Daten genutzt werden. Dell hat inzwischen Anzeige gegen Unbekannt gestellt. "Bevor wir die E-Mail des Bedrohungsakteurs erhalten haben, war Dell bereits über den Vorfall informiert und hat ihn untersucht, unsere Reaktionsverfahren implementiert und Eindämmungsmaßnahmen ergriffen. Wir haben außerdem ein externes Forensik-Unternehmen mit der Untersuchung beauftragt." hieß es von Dell gegenüber Bleeping Computer.

Ein Hack bereits im Nov. 2018

Norbert wies in diesem Kommentar auf einen Pressetext Dell gehackt: User müssen Passwörter resetten hin, der einen weiteren Hack aus dem Jahr 2018 thematisiert. Damals wurde das Unternehmen Dell ebenfalls angegriffen, wobei die Cyber-Kriminellen es auf die Dell.com-Kundendatenbank sowie die darin abgespeicherten Passwörter und persönlichen Informationen abgesehen hatten. Damals gelang es den Angreifern, Zugriff auf das Netzwerk von Dell zu erhalten. Laut Text gebe es keine Belege dafür, dass diese Aktion am Ende auch von Erfolg gekrönt war. Im Fokus der Hacker standen laut Dell damals insbesondere Namen, gehashte Passwörter sowie E-Mail-Adressen.