Anger steigt als Fed bestätigt Anonymous Hack, herunterspielt US-Bank Notfall-System zu verletzen

Nach Anonymous gepostet, sensiblen Anmeldeinformationen von über 4.600 Banken Führungskräfte, eine Regierung Web-Site auf Super Bowl Sonntag, erkannte die Federal Reserve den Angriff in einem Dienstag Morgen Aussage an die betroffenen Personen und drücken.

Allerdings, während ein Sprecher der Federal Reserve sagte der Huffington Post, dass Anonymous Anspruch auf die Bedeutung des Hacks war “überbewertet”, Informationssicherheit Profis, die Finanzinstitute dienen sagen, das genaue Gegenteil – und sind nicht am besten mit der Federal Reserve zufrieden.

Die Website hat jetzt gelernt, dass die kompromittiert und exponiert Datenbank gehört zu der St. Louis Fed Emergency Communications System.

Update Februar 6, 13:45 Uhr PST: Chris Wysopal, CTO und Mitbegründer von Veracode, packte den Hack aus und nannte ihn “eine spearphierende Bonanza” und “den wertvollsten Account-Dump von Qualität, den ich seit langem gesehen habe” in der Post Gestohlene Daten-Header aus der Federal Reserve Hack.

Nach Angaben des Bankers Advocate, ist ECS das Notfall-Kommunikationssystem für siebzehn Staaten, mit Plänen, sieben neue Staaten in diesem Jahr hinzuzufügen.

ECS schätzt, dass es 40 Prozent der amerikanischen staatlich gecharterten Banken als ihre Nutzer hält.

Das ECS wurde im Jahr 2008 eingesetzt und ist das Mittel, mit dem Bankenaufsichtsbehörden wie das Bankdirektorium und die Federal Reserve Supervision und Regulation mit den Finanzinstituten im Notfall kommunizieren.

Das ECS-System ermöglicht es den Agenturen, in einer Krise bidirektionale Kommunikationskanäle mit Institutionen in der Krise zu schaffen, um kritische Informationen auszutauschen, Krisen wie natürliche oder vom Menschen verursachte Katastrophen (Wetter, Feuer usw.), “chemisch-biologische Ereignisse oder Bedrohungen” und “Ereignisse, die die Finanzmärkte beeinflussen.

Sicherheit, das Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog, Sicherheit, Chrome, um Etikettierung von HTTP-Verbindungen als nicht sicher, Sicherheit, das Hyperledger-Projekt wächst wie gangbusters

Anonymous scheint zu haben veröffentlichte Login und private Informationen von über 4000 American Bank Executive Credentials seine Operation Last Resort, fordern US Computer Crime Law Reform.

Sensible Informationen über Tausende von State-Charter-Banken und Kreditgenossenschaften – einschließlich Anmeldeinformationen, Anmeldeinformationen, IP-Adressen und Kontaktinformationen – wurden in einer Tabellenkalkulation aufgelistet und an eine Regierungsstelle gesendet, dann angekündigt und von der Fraktion “Operation Last Resort” Von Anonymous.

Die Regierung Web-Site, die kompromittiert wurde und verwendet, um die Kalkulationstafel, die Alabama Criminal Justice Information Center posten, reagierte nicht auf Anfragen für die Kommentare aus der Washington Pos t.

Die Seite mit dem URL-Dateinamen “oops-we-did-it-again” wurde in den frühen Montagmorgen PST zugänglich gemacht. Eine Cache-Version der Seite war noch verfügbar ab Dienstag Nachmittag, sowie eine Kopie des Rohtextes auf Pastebin zum Zeitpunkt des Angriffs platziert.

Eine Federal Reserve-Sprecher sagte Reuters genau, was es in der E-Mail an betroffenen Personen gesendet, sagte: “Das Federal Reserve-System ist sich bewusst, dass Informationen durch die Ausnutzung einer vorübergehenden Verwundbarkeit in einem Website-Anbieter Produkt gewonnen wurde.”

Kontakt von der Federal Reserve auf betroffene Personen wurde unabhängig von der Website durch eine Quelle, die über die Vertraulichkeit sprach überprüft.

Die Quelle der Quelle lieferte eine Kopie der E-Mail der Federal Reserve an die auf der Liste und enthüllte, dass die betroffenen Institutionen über eine Verletzung informiert wurden und dass ihre Passwörter für das betroffene System (eine Website mit einer Kontaktdatenbank für Banken, die während eines natürlichen oder eines Menschen verwendet werden -Katastrophe) geändert werden.

Dienstagmorgen erhielten die auf der Liste, zusammen mit Nachrichtenmedien, diese Informationen von der Federal Reserve Bank von St. Louis

Das Federal Reserve System hat gelernt, dass Nutzer-Kontaktdaten von seinem Emergency Communications System (ECS), einem System, das von der Federal Reserve und den staatlichen Bankenabteilungen verwendet wird, um die Hinterlegungsstellen über die Funktionsfähigkeit bei natürlichen oder anderen Katastrophen zu informieren ” Im Internet von einer externen Gruppe, die eine vorübergehende Verwundbarkeit in einem Vendor-Website-Produkt ausnutzte. Die Schwachstelle wurde schnell nach der Entdeckung behoben, und der Vorfall hatte keinen Einfluss auf die kritischen Operationen des Federal Reserve Systems.

Wir bringen Ihnen diese Informationen zur Kenntnis, denn Sie sind Registrant für ECS. Die von den Registranten erhaltenen Informationen bestanden aus Postanschrift, Geschäftstelefon, Mobiltelefon, Geschäfts-E-Mail und Fax. Einige Registranten enthalten auch optionale Informationen bestehend aus Telefon und persönliche E-Mail. Trotz gegenteiliger Ansprüche, Passwörter wurden nicht beeinträchtigt, aber dennoch wurden als Vorsichtsmaßnahme zurückgesetzt.

Die Quelle sagte der Website: “Die Banken auf der Liste waren nicht kompromittiert.”

Die St. Louis Fed Emergency Communications System-Dienste American State Mitglied Banken und Kreditgenossenschaften.

Seine Website liest

Willkommen beim Notfall-Kommunikationssystem (ECS), einem kostenlosen Service, der es Ihrem Finanzinstitut ermöglicht, bei Krisen, wie etwa natürlichen oder von Menschen verursachten Katastrophen, oder von Ereignissen, die die Finanzmärkte drastisch beeinflussen, wichtige Mitteilungen von Ihrer Regulierungsbehörde zu erhalten.

Beamte, die als Notfallkontakte Ihrer Institution ausgewählt werden, melden sich einfach an, indem sie eine Benutzer-ID erstellen und relevante Kontaktinformationen abgeben. Nach der Registrierung können Einzelpersonen ihre Kontaktinformationen jederzeit aktualisieren, so dass die Kontaktinformationen aktuell und genau bleiben.

Bitte beachten Sie, dass Registranten nur im Notfall und bei halbjährlichen Tests kontaktiert werden. Diese Informationen werden nicht an Dritte weitergegeben.

Nach Angriffen auf US-Regierung Web-Seiten am vergangenen Wochenende behauptete Anonymous die neue “Operation Last Resort” .gov Website Streik ebenso wie die Super Bowl Fußballspiel beendet.

Das US-Justizministerium hat nach wie vor zwei offizielle Webseiten ab Freitag, als Anonymous “Operation Last Resort” eine rechtliche Reform forderte.

Die OpLastResort-Kampagne fordert “Reform der Computerkriminalitätgesetze” und Untersuchung von “übereifrigen Staatsanwälten” als Reaktion auf den Selbstmord von jungen Hackern, Anti-SOPA-Aktivisten und Reddit-Mitbegründer Aaron Swartz.

Am 25. Januar beauftragte Anonymous die US-amerikanische Sentencing-Website, Operation Last Resort “Warheads” (verschlüsselte Dateien, die Anonymous vorschlug, dass sie sensible Informationen enthalten) zu verbreiten.

Die ussc.gov Angriff und Verleumdung wurde von der Regierung die Wiedererlangung der Website nur vorübergehend gefolgt, bis Anonymous die Regierung Eigentum mit einem spöttischen Video-Spiel von Asteroiden zurückforderte.

Die Website der US-Verurteilungskommission ist ab diesem Zeitpunkt behindert und “im Bau”.

In den offiziellen Antworten auf die Konstituenten stellte die Federal Reserve fest, dass keine tatsächlichen Kontoinformationen kompromittiert wurden und dass dieser Vorfall nicht von wesentlicher Bedeutung war.

Jon Waldman, ein führender Informationssicherheitsberater, dessen Firma sich darauf spezialisiert hat, kleine und mittelständische Finanzinstitute – wie die auf der Liste – auf der Website zu informieren, erklärte ihm, wie der Zorn über das Unglück der Fed reagiert

Die Federal Reserve ist einfach falsch, indem man sagt, es gibt keine Kontodaten auf der Liste. Ich habe diese Liste gesehen und es ist absolut umfangreich mit Kontodaten. Benutzernamen und Hash-Passwörter sind mit Salzen enthalten. Jedermann wert ihr Gewicht im Technologiefeld kann ein gehashtes Kennwort entschlüsseln. Die Fed erklärte, dass die Passwörter nicht “kompromittiert” seien, aber das bedeutet nur, dass sie nicht im Klartext aufgelistet wurden.

Als Informationssicherheitsexperte ist es meine offizielle Position, dass es einen eklatanten und unverantwortlichen Mangel an Taktgefühl und Dringlichkeit in der Antwort der Federal Reserve auf die Einzelpersonen und Institutionen in dieser Liste gab. Ich würde so weit gehen zu sagen, sie haben unwiderruflich LIED zu ihren Konstituenten hier. Zugegeben, es gibt keine sofortige Bedrohung von Geldtransfer oder zusätzlichen Datenverlust, aber es gibt sicherlich eine unmittelbare Gefahr hier für jeden einzelnen dieser Konten, die ausgesetzt worden sind.

Diese Liste ist in der Tat noch öffentlich über eine chinesische Website, was bedeutet, dass alle diese Informationen ist immer noch da draußen für jedermann mit Cyber-Kriminalität Neigungen zugreifen und nutzen.

Waldmans Empörung beiseite, erklärte er das Risiko für Personen auf der Liste so

Sowohl die Institutionen als auch die in dieser Liste enthaltenen Personen werden spezifische Ziele von Social Engineering und Hacking Attacken sein. Nicht nur die in dieser Liste enthaltenen Geschäftsinformationen (Telefonnummern und E-Mails), sondern auch persönliche Informationen (Zellnummern und E-Mail-Adressen). Darüber hinaus wurden die externen IP-Adresseninformationen (die IP-Adresse, die diesen Host oder die Institution im Internet identifiziert) für diese Institute in dieser Liste enthalten.

So, wenn Sie zufällig eine prekäre Person mit einigen Back-Tür-Geschäfte beteiligt sind, einschließlich Versuche, Menschen aus Geld oder vertraulichen Informationen zu betrügen, und ich präsentierte Ihnen eine Liste von 4000 + Telefonnummern von Finanzinstituten zu einem Versuch aufrufen Um Kundenkontoinformationen oder interne Bankinformationen von Zählern oder Mitarbeitern zu extrahieren, wären Sie nicht interessiert?

Wie wäre es mit einer Liste von 4000 + Banken Führungskräfte, denen man eine gezielte Phishing-E-Mail senden könnte? 4000 + Bank Executive persönliche Handy-Nummern zu nennen? Was konnte man damit machen? Anrufe oder SMS? Oder noch besser, eine Liste von 4000 + externen IP-Adressen, die man hacken oder eine Denial-of-Service-Angriff durchführen könnte.

Es gibt viele unbeantwortete Fragen, und größere Fragen auftauchen. Wir melden Updates, wie sie geschehen.

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog

Chrome startet die Kennzeichnung von HTTP-Verbindungen als nicht sicher

Das Hyperledger-Projekt wächst wie gangbusters