Am 1. Januar erhielt ein Technologe mit dem Spitznamen Regexer eine E-Mail, in der ihm mitgeteilt wurde, dass er sein Konto bei der Krypto-Börse Coinbase erfolgreich zurückgesetzt habe.
Leider – und besorgniserregend – hatte er tatsächlich kein Zurücksetzen des Passworts angefordert. Regexer, der darum bat, von seinem Online-Spitznamen angesprochen zu werden, aus Angst, erneut von Hackern angegriffen zu werden, stellte schnell fest, dass er gehackt wurde, und seine Versuche, sich in seine Coinbase einzuloggen, um die Kontrolle zurückzugewinnen, waren erfolglos.
Bald darauf bemerkte er, dass er keinen Handyempfang hatte. Dann benachrichtigte ihn seine Zwei-Faktor-App Authy, dass seinem Konto ein neues Gerät hinzugefügt wurde. Nachdem die Hacker die Kontrolle über den Handydienst von Regexer übernommen hatten, konnten die Hacker die Passwörter seiner Konten zurücksetzen und Zwei-Faktor-SMS-Nachrichten abfangen. Das ermöglichte es den Hackern, die Kontrolle über Authy zu übernehmen und ihnen laut Regexer die Möglichkeit zu geben, die von der App erstellten 2FA-Codes zu verwenden.
Dies gab ihnen die Möglichkeit, in noch mehr Konten von Regexer einzudringen.
„Jetzt weiß ich nicht, was zum Teufel los ist. Ich bin vollständig im Besitz“, sagte Regexer gegenüber Tech und erinnerte sich an den Vorfall.
Regexer war sich nicht sicher, was er tun sollte, und begann, die Passwörter seiner anderen wichtigen Konten zu ändern, die anscheinend noch nicht kompromittiert worden waren. Dann fing er aus einer Laune heraus an, den Flugzeugmodus auf seinem iPhone ein- und auszuschalten. Irgendwie wurde sein Handy-Service nach ein paar Versuchen wiederhergestellt.
Regexer ist sich nicht sicher, ob das Ein- und Ausschalten des Flugzeugmodus den Angriff gestoppt hat, aber er ist froh, dass das passiert ist.
Regexer hatte wochenlang keine Ahnung, wie er gehackt worden war. Dann, am Montag, erhielt er eine E-Mail von seinem Mobilfunkanbieter Google Fi, in der er und alle anderen Kunden darüber informiert wurden, dass Hacker einige Kundendaten gestohlen hatten, was wahrscheinlich mit dem jüngsten Verstoß bei T-Mobile zusammenhängt.
Im Gegensatz zu anderen Kunden enthielt die E-Mail mit Regexer detailliertere Informationen über den Hack, den er Wochen zuvor erlitten hatte.
„Auf andere Daten im Zusammenhang mit Ihrem Google Fi-Konto wurde möglicherweise auch ohne Autorisierung zugegriffen, wie z. B. eine Postleitzahl und die mit Ihrem Konto verknüpfte Service-/Notfalladresse“, lesen Sie die E-Mail, die Regexer mit Tech teilte. „Außerdem wurde am 1. Januar 2023 für etwa 1 Stunde 48 Minuten Ihr Mobilfunkdienst von Ihrer SIM-Karte auf eine andere SIM-Karte übertragen. Während dieser vorübergehenden Übertragung könnte der unbefugte Zugriff die Verwendung Ihrer Telefonnummer zum Senden und Empfangen von Telefonanrufen und Textnachrichten beinhaltet haben. Trotz SIM-Transfer konnte auf Ihre Voicemail nicht zugegriffen werden. Wir haben den Google Fi-Dienst auf Ihrer SIM-Karte wiederhergestellt.“
Regexer sagte, er habe mit zwei Kundenvertretern von Google Fi gesprochen, um mehr Details darüber herauszufinden, was passiert sei, aber keiner von ihnen habe ihm etwas gesagt. Und interessanterweise hat Regexer keine Beweise dafür gefunden, dass sein Google-Konto, das mit dem Google Fi-Konto verknüpft ist, kompromittiert wurde. Es ist unklar, wie die Hacker den SIM-Tausch durchführen konnten.
Google hat auf eine Bitte um Stellungnahme nicht geantwortet. Und es ist noch nicht bekannt, ob es andere Personen gab oder wie viele, die speziell von Hackern ins Visier genommen wurden, wie es Regexer war.
Nachdem er die Kontrolle über dieses Online-Leben wiedererlangt hatte, untersuchte Regexer den Hack und fand heraus, dass die Hacker auch sein Outlook-E-Mail-Konto übernommen hatten und – geschickt – in dem Versuch, ihre Aktionen zu verbergen, die E-Mails löschten, die über das Zurücksetzen des Passworts informierten.
Obwohl seit dem 1. Januar nichts weiter passiert ist, ist Regexer immer noch besorgt und fordert Google auf, weitere Informationen offenzulegen.
„Ich möchte vor allem wissen, ob ich und andere noch verwundbar sind und ob wir irgendetwas tun können, um uns zu schützen. Ich würde gerne mehr Details über die Mechanismen erfahren, die für die Übernahme der Telefonnummer verwendet wurden, da dies Aufschluss über das Ausmaß der anhaltenden Verwundbarkeit und die Methoden zur Verteidigung geben wird, sowie darüber, ob die Zwei-Faktor-SMS besser bleibt als keine Zwei-Faktor-Angriffe überhaupt. (Ich kann SMS für einige Online-Konten ersetzen, aber nicht für alle. Viele Banken und andere erlauben nur zwei Faktoren per SMS.) Ich würde auch gerne wissen, wie viele Leute ihre Telefonnummern im Zusammenhang mit dem Datenleck gestohlen haben, und, Wenn es sich um eine kleine Teilmenge handelte, gab es einen Grund, warum wir besonders ins Visier genommen wurden“, sagte Regexer.
„Wenn Google also nicht mehr Licht auf den Angriff wirft, bleibt eine große offene Frage, wie anfällig die Telefonnummern der Menschen jetzt sind.“
Sind Sie ein Google Fi-Abonnent, der ebenfalls Opfer eines ähnlichen Angriffs wurde? Haben Sie auch eine personalisierte Benachrichtigung des Unternehmens über den Hack gegen Sie erhalten? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren.