Bislang größter Kreditkartenklau im Internet

Ein osteuropäischer Cracker erpresst einen amerikanischen Online-Händler

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Ein sich als 19jähriger Russe namens Maxus bezeichnender Cracker hat versucht, CD Universe, einen amerikanischen Online-Musikhändler der Firmengruppe eUniverse, zu erpressen. In einem Fax hatte er behauptet, die Kreditkartendaten der über 300000 Kunden kopiert zu haben und sie anderweitig zu verkaufen, wenn er nicht 100000 Dollar erhält.

Nachdem CD Universe nicht auf die Erpressung reagiert hatte, veröffentlichte Maxus auf einer gestern geschlossenen Website (eine Kopie der Seite findet man hier) eine Reihe der geklauten Kreditkarteninformationen in einer "credit cards datapipe". Seit 25. 12., als Maxus die Informationen zu veröffentlichen begann, wurden 25000 Kreditkartennummern von der Website heruntergeladen. Mittlerweile hat Brad Greenspan, Vorsitzender von eUniverse, gegenüber der New York Times eingeräumt, dass Maxus Informationen von CD Universe hat, allerdings wisse er nicht, ob die Website gecrackt worden sei oder ob der Erpresser die Daten aus anderen Quellen erhalten habe.

Maxus selbst behauptet, er habe einen Sicherheitsmangel in ICVerify, ein Programm zur Authentifizierung von Kreditkarten der Firma Cybercash, das auch von CD Universe verwendet wird, entdeckt und schon seit 1998 dazu benutzt, Geld umzubuchen. Er sei damit auch in der Lage gewesen, Geld aus einem Bankautomaten zu ziehen. Cybercash sagt, man habe bereits vor einem Jahr ein Sicherheitsloch entdeckt und dafür ein Patch angeboten, man wisse aber nicht, ob alle Kunden es installiert haben.

In einer Email meinte Maxus, dass er normalerweise gestohlene Kreditkartendaten in anonymen Chat-Räumen verkaufe, aber anscheinend wollte er von CD Universe in dem vermutlich bislang größten Vorfall der Entwendung von Kreditkartendaten über das Internet gleich eine größere Summe eintreiben. Wenn er das Geld erhalte, wollte er das Sicherheitsproblem beheben, ansonsten die Informationen verkaufen und an die Presse gehen. Inzwischen beschäftigt sich auch das FBI mit dem Fall. Die Email-Adresse von Maxus lässt sich bislang jedoch nur nach Osteuropa zurückverfolgen, ohne dass man die genaue Herkunft ermitteln könnte. Auch wenn man auf die Spur des Erpressers kommen sollte, könnte es schwierig werden, ihn zu belangen, wenn es mit dem jeweiligen Staat kein Auslieferungsabkommen gibt. "Das Internet", so Elias Levy von SecurityFocus, der am Freitag bereits auf die Website mit den gestohlenen Kreditkarteninformationen hingewiesen hat, "bringt eine ganze neue Schicht von Kriminellen hervor."

Natürlich versichert CD Universe seinen Kunden, dass die Bezahlung mit Kreditkarten sicher sei: "The transferring of your credit card information is safely handled by our secure server. ... The main concern of on-line shoppers is that their credit card information will somehow end up in the wrong hands. We use Netscape's Secure Commerce Server technology, which encrypts your order information, keeping it private and protected. It's a Netscape technology called "SSL" (Secure Sockets Layer) and it's used by us and all the other major commercial shopping sites, including: The Wall Street Journal, Barnes & Noble Books, FTD Flowers, Microsoft, and Netscape itself. It is actually safer to transmit your credit card info over the Internet than it is to use your credit card around town."

nach oben