Tausende Nutzerkonten betroffen Kanadische Behördendienste gehackt

Angreifer versuchten, Corona-Hilfen in Kanada umzuleiten. Ob sensible Informationen erbeutet wurden, ist noch unklar. Ausgenutzt wurde wohl eine Sicherheitslücke, die jeder selbst schließen kann.
Unbekannte hatten Zugriff auf Tausende Nutzerkonten der kanadischen Steuerbehörde

Unbekannte hatten Zugriff auf Tausende Nutzerkonten der kanadischen Steuerbehörde

Foto: imago stock&people / imago/ZUMA Press

Unbekannte haben sich in Kanada Zugang zu tausenden Nutzerkonten von Behördendiensten verschafft. Das teilte die kanadische Steuerbehörde am Samstag mit. Betroffen seien mehr als 9000 Konten des sogenannten GCKey-Dienstes, über den Bürgerinnen und Bürger auf die Online-Services dutzender kanadischer Behörden zugreifen. Außerdem seien rund 5500 weitere Nutzerkonten der Steuerbehörde betroffen.

Die Behörde gibt an, alle betroffenen Konten nach Bekanntwerden des Hackerangriffs gesperrt zu haben. Polizei und Regierung leiteten eine Untersuchung ein, um herauszufinden, ob bei dem Angriff sensible Informationen erbeutet wurden.

Wie der staatliche Sender CBC berichtet , hatten mehrere Bürger in den vergangenen Wochen bemerkt, dass die E-Mail-Adressen und Bankinformationen in ihren Nutzerkonten geändert und in ihrem Namen Corona-Hilfen beantragt worden seien.

Wiederverwendete Passwörter als Einfallstor

Bei dem Angriff handele es sich um eine sogenannte Credential-Stuffing-Attacke, teilte ein Behördensprecher mit. Demnach hätten die Täter keine technische Schwachstelle der Behördendienste ausgenutzt, sondern die Tatsache, dass viele Nutzer für mehrere Dienste dasselbe Passwort verwenden.

Bei einem solchen Angriff werden bereits im Netz kursierende Log-in-Daten aus alten Hacks anderer Webangebote benutzt und automatisiert auf ein neues Ziel angewendet, in diesem Fall die kanadischen Behördendienste.

Der Fall zeigt einmal mehr, wie gefährlich es ist, dasselbe Passwort für mehrere Onlineangebote zu verwenden. Wer sich vor solchen Angriffen schützen will, sollte deshalb für jeden Dienst ein eigenes, sicheres Passwort anlegen und in einem Passwort-Tresor verwahren. Hier stellen wir einige solcher Dienste vor. Darüber hinaus lohnt es sich, Angebote wie Have I Been Pwnd  oder den Identity-Leak-Checker  des Potsdamer Hasso-Plattner-Instituts zu verwenden. Diese geben Auskunft, in welchen bekannten Datenleaks man mit seinen Log-in-Daten bereits auftaucht.

ply/AFP
Die Wiedergabe wurde unterbrochen.