Nachricht

Jun 15, 2023

Getrübtes Urteil: Wie ein ehemaliger Amazon-Mitarbeiter Capital One gehackt hat

Von Benjamin Cassidy, 4. April 2023, veröffentlicht in der Sommerausgabe 2023 von Seattle Met. Kurz nach Sonnenaufgang, an einem stillen Julimorgen, drängen sich Bundesagenten in ein einstöckiges Haus in einer ruhigen Wohnstraße

Von Benjamin Cassidy, 4. April 2023, veröffentlicht in der Sommerausgabe 2023 von Seattle Met

JKurz nach Sonnenaufgang an einem stillen Julimorgen,Bundesagenten drängen sich in einem einstöckigen Haus in einer ruhigen Wohnstraße in Seattle.

Ein SWAT-Team in Tarnung schwingt Sturmgewehre und einen Rammbock, während es zwischen einer Reihe von Fahrzeugen – einem Möbeltransporter, einem Jeep und einem Airstream-Wohnmobil – hindurchgeht, die im Vorgarten geparkt sind. Die Einheit geht an ihnen vorbei und hämmert mit immer noch im Anschlag befindlichen Waffen gegen die schützende Sicherheitstür. „FBI, machen Sie auf!“

Der Schrei und das Rasseln wecken die fünf Bewohner des Beacon Hill-Hauses. Die FBI-Agenten räumen sie aus dem Gelände und verteilen sich dann auf drei Schlafzimmer und ein vollgestopftes Wohnzimmer, das in die galaktischen Farben von Fernsehern und Computer-Bildschirmschonern getaucht ist. Eine L-förmige Couch und ein Kratzbaum im Gemeinschaftsraum sehen unschuldig aus. Doch in einem der Schlafzimmer finden die Agenten ein wahres Waffenarsenal: acht Gewehre, vier halbautomatische Pistolen und drei Behälter mit Sprengstoff.

Das Haus in Beacon Hill, in dem Paige Thompson lebte, fotografiert einige Tage nach ihrer Verhaftung.

Bild: AP Photo/Ted S. Warren

Draußen, gefesselt mit den anderen Mitbewohnern, hört Park Quan nicht auf, über sein Waffenlager zu reden. Doch die Behörden waren nicht hinter dem 66-jährigen Hausbesitzer her, der bereits zwei bundesstaatliche Verurteilungen vorzuweisen hatte. Das eigentliche Ziel, der Grund, warum das FBI bei Tagesanbruch in dieser ruhigen Gegend eintraf, ließ in einem Schlafzimmer in seiner Nähe ein industrielles Summen von sich geben.

Hinter der Tür war ein speziell angefertigter weißer Computer in der Größe eines Minikühlschranks immer noch eingeschaltet, und Waymon Ho konnte etwas ruhiger atmen. Ho war nicht Teil des SWAT-Teams, das die Razzia leitete. Stattdessen war er Informatiker und Mitglied des Cyber ​​Action Teams des FBI, einer Einheit, die erst 2006 gegründet wurde. Sie bestand aus Leuten wie Ho, die wussten, dass beispielsweise das Neustarten eines selbstgebauten Computers den Verlust wichtiger Daten bedeuten konnte Beweis.

Beweise wie personenbezogene Daten von mehr als 100 Millionen Menschen. An einem Sommertag im Jahr 2019 befand sich Ho aufgrund eines potenziell kolossalen Einbruchs in diesem kleinen, verstreuten Schlafzimmer. Eine ehemalige Mitarbeiterin von Amazon Web Services soll Kunden ihres früheren Arbeitgebers gehackt haben. Der prominenteste Kunde, der Kreditkartengigant Capital One, hatte die Behörden etwas mehr als eine Woche zuvor alarmiert. In der Außenstelle in Seattle erkannte Spezialagent Joel Martini den Fall schnell als oberste Priorität an und orchestrierte eine Suchaktion.

Nachdem sie den Wohnbereich des Hauses durchsucht hatten, fanden Bundesbeamte in Thompsons zerzaustem Schlafzimmer einen maßgeschneiderten weißen Computer.

Bild: Mit freundlicher Genehmigung des Bezirksgerichts der Vereinigten Staaten für den westlichen Bezirk von Washington

Vor der Razzia überprüfte Ho die Nachrichten des Verdächtigen online. Es war, als wollte Paige Thompson erwischt werden. In einer Twitter-Direktnachricht an ein Mitglied der Informationssicherheits-Community schickte Thompson, die sich im Internet als „erratisch“ ausgab, Links zu Skripten zur Durchführung des Verstoßes mit ihrem vollständigen Namen in der Adresse. Auf Slack listete sie Dateien aus einem Ordner namens „aws_dumps“ auf, in dem sie die heruntergeladenen Daten speicherte.

Ho fand den Ordner schnell auf ihrem Computer. Er beauftragte einen Fotografen, den Bildschirm aufzunehmen, und schob dann ein Medienlaufwerk in das Gerät ein. Das Kopieren der Daten würde Stunden dauern, genug, um mehrere Laptops zu füllen.

Während sie auf ihr Schicksal wartete, machte Thompson ihrem „unberechenbaren“ Online-Handle alle Ehre. Die 33-Jährige sagte den Ermittlern zunächst, sie könne sich nicht erinnern, irgendwelche Daten heruntergeladen zu haben, wie Martini später aussagte. Wenn sie es heruntergeladen hat, hat sie die Informationen nie gesehen. Aber im selben Interview machte sie eine 180-Grad-Kehrtwende, sagte die Agentin – sie gab den Download zu.

Ein Mitarbeiter hatte Thompson gewarnt, dass sie zu weit gegangen sei. „Skizzenhafte Scheiße“, schrieben sie auf Slack. „Gehen Sie bitte nicht ins Gefängnis.“

Doch am Ende des Tages war Thompson auf dem Weg zum Bundesgefängnis in SeaTac, wo ihm Computerbetrug und Missbrauch vorgeworfen wurden. Quan würde sich ihr dort wegen separater Waffenvorwürfe anschließen. Unterdessen beeilten sich Nachrichtenagenturen auf der ganzen Welt, über die Verhaftung des ehemaligen Technikers aus Seattle zu berichten, der hinter einem der größten Hackerangriffe aller Zeiten stand. Thompsons Fall hatte gerade erst begonnen, die Gefahren zu offenbaren, die damit einhergehen, zu viel online zu sein.

Jeder, der davor erscheint Der ehrenwerte Robert S. Lasnik wird wahrscheinlich einige sehr trockene Humorversuche über sich ergehen lassen. Als ein Ausschuss Ende der 1990er Jahre fragte, warum er Bundesrichter werden wollte, sagte Lasnik, er habe bemerkt, dass die Resonanz auf seine Witze auf Landesebene stagnierte. „Wenn ich Bundesrichter werde, bekomme ich vielleicht wieder den nötigen Schwung.“

Der damals 71-Jährige ließ sich von der Schwere der mutmaßlichen Verbrechen im Fall Vereinigte Staaten von Amerika gegen Paige A. Thompson nicht davon abhalten, es locker zu halten. Während einer Vorverhandlung im März 2022, zweieinhalb Jahre nachdem Thompsons Fall zum ersten Mal auf seinem Schreibtisch landete, gab Lasnik mit klassischer Trockenheit zu, dass er immer noch in der technischen Terminologie versunken sei. „Junge, bin ich nostalgisch, wenn jemand jemanden erschießt“, sagte er. „Das verstehe ich.“

So sardonisch Lasniks Vorwurf auch gewesen sein mag, es war mehr als beunruhigend zu hören, wie der Mann, der im Jahr 2022 einen großen Hacking-Fall leitete, gestand, dass er sich immer noch mit all dieser Computerkriminalität beschäftigte. Es war auch nachvollziehbar. Wie viele von uns verstehen bei all unserer Bildschirmzeit und dem Scrollen wirklich, wie unsere Informationen online gespeichert oder gar gesichert werden? Oder wie exponiert wir sind? Sicherlich entsteht mit jedem Zwei-Faktor-Authentifizierungscode, der uns per SMS oder E-Mail zugesandt wird, ein gewisses Bewusstsein für unsere Verwundbarkeit. Und vielleicht haben wir gelernt, dass ein kostenloses Geschenkkartenangebot nie von guter Seite ist. Aber letztendlich vertrauen wir unser digitales Leben Institutionen an, die nicht so undurchdringlich sind, wie es scheint. „Bei Sicherheit geht es darum, Risiken zu verstehen und zu mindern“, sagte ein AWS-Vorgesetzter während des Prozesses, „nicht darum, Sicherheit zu garantieren.“

Der Capital One-Hack hätte uns alle erschüttern müssen. Von den etwa 106 Millionen Menschen, deren persönliche Daten Paige Thompson heruntergeladen hatte, lebten etwa 100 Millionen in den USA – das waren damals fast 40 Prozent der erwachsenen Bevölkerung. Der Verstoß war so groß, dass die Anwälte auf beiden Seiten des Prozesses zugeben mussten, dass ihre Daten möglicherweise kompromittiert worden waren. Die Regierung nannte es den zweitgrößten Hack von personenbezogenen Daten (PII, im Sicherheitsjargon) in der Geschichte.

Wie die Staatsanwaltschaft darlegen würde, hat Thompson ein Programm entwickelt, um die Remote-Server von Amazon Web Services-Konten auf eine Firewall-Schwachstelle zu scannen – als würde jemand 37 Millionen Türklinken auf einmal testen. Thompson wusste nicht genau, wen oder was sie hinter diesen virtuellen Türen finden würde. Aber nachdem sie die Sicherheitsdaten für die ungeschützten Hosts erhalten und deren Daten heruntergeladen hatte, sah sie zeilenweise Informationen.

Das meiste davon – Namen, Adressen, Geburtsdaten – war harmlos. Dennoch gelang es Thompson, bei einem Großteil der Opfer einige der sensibelsten personenbezogenen Daten herunterzuladen – etwa 140.000 Sozialversicherungsnummern und 80.000 Bankkontonummern.

Das Ausmaß des Verstoßes wäre für jedes Unternehmen ein Albtraum, insbesondere für Unternehmen, bei denen es um persönliche Finanzen geht. Plötzlich ertönte der Slogan „Was ist in Ihrem Portemonnaie?“ klang etwas aufdringlicher, als Capital One jemals beabsichtigt hatte. Der Kreditkartenriese stellte im Rahmen einer Sammelklage 190 Millionen US-Dollar für betroffene Verbraucher bereit. Darüber hinaus hat das Unternehmen einer Bundesaufsichtsbehörde eine Geldstrafe von über 80 Millionen US-Dollar wegen Mängeln im Bereich der Cybersicherheit seit der Migration seiner IT in die Cloud auferlegt.

Aber Capital One war nicht der einzige Amazon Web Services-Client mit einer fehlerhaften Firewall. Thompson hat Daten von mehr als 30 Unternehmen heruntergeladen, von einem Software-Startup in Kalifornien bis zur Michigan State University. Der Hack verdeutlichte das Ausmaß des Einflusses des in Seattle ansässigen Cloud-Computing-Riesen auf das moderne Leben, ein unsichtbares Rückgrat für alles, von Netflix-Streams bis hin zur Cloud-Sicherheitssoftware selbst.

Thompson verstand die Schwere ihrer Tat. „Ich habe mich im Grunde mit einer Bombenweste umgeschnallt“, schrieb sie in einer Twitter-Direktnachricht.

Ihre Absicht war weniger klar. Im selben Thread schrieb sie, dass sie „SSNS … mit vollständigem Namen und Geburtsdatum“ verteilen wolle. Unabhängig davon fasste sie auch die Informationen einiger Einwohner von Seattle zusammen. Und wie bei scheinbar allen komplizierten digitalen Dramen dieser Tage war Krypto im Spiel: Sie verdiente etwa 10.000 US-Dollar mit dem Mining digitaler Währungen auf gehackten Servern.

Aber Thompson hat die Kundendaten, die sie ab März 2019 erfasst hatte, nie weitergegeben oder verkauft. Vielleicht hatten die Behörden sie gestoppt, bevor sie konnte. Oder, wie ihr Verteidigungsteam und ihre Verbündeten vermuteten, nachdem sie sich im September auf nicht schuldig bekannte, vielleicht wollte sie lediglich eine Sicherheitslücke aufdecken, anstatt sie auszunutzen.

Lasnik hatte noch nie von einem „White-Hat“ oder ethischen Hacker gehört, bevor Thompsons Fall vor Gericht landete. Trotz seiner technischen Analphabeten gab er sich alle Mühe zu zeigen, dass er nicht übermäßig bestrafen würde, wenn die Gründe nichts mit den Vorwürfen wegen Computerbetrugs und -missbrauchs, Überweisungsbetrugs, Betrugs mit Zugriffsgeräten und schwerem Identitätsdiebstahl zu tun hatten. Im November 2019, etwa 100 Tage nachdem Thompson im Federal Detention Center in SeaTac angekommen war, gewährte er ihr die Freilassung in einem Übergangsheim in Seattle. Er würdigte ihren Kampf als Transfrau, die im Männerflügel des Gefängnisses festgehalten wird. „Ich mache das, weil mir Ihre geistige Gesundheit und Ihre körperliche, medizinische Gesundheit am Herzen liegen“, sagte er zu ihr und warnte sie gleichzeitig, dass er „sich hier immer noch auf die Nerven geht“. Einen Monat später ließ er sie in eine Wohnung mit einem Knöchelmonitor ziehen.

Der Zeitpunkt war für Thompson zufällig. Ein ursprünglich für Mitte 2020 geplanter Prozess würde erst in zwei Jahren vor dem US-Bezirksgericht für den westlichen Bezirk von Washington beginnen, da Covid die Akten eingefroren hatte. Die Welt verlagerte sich zunehmend ins Internet und in die Cloud, was uns zunehmend anfällig für Hacker machte, die im digitalen Schatten lauern. Oder, wie im Fall von Thompson, sich vor den Augen der Öffentlichkeit verstecken.

Für einige Monate im Jahr 1994Der meistgesuchte Hacker der USA arbeitete am IT-Helpdesk des Virginia Mason Medical Center auf First Hill.

Kevin Mitnick änderte seinen Namen und begann ein neues Leben als Brian Merrill. Nach so vielen Monaten auf der Flucht fand der berüchtigte Computerbetrüger eine Wohnung in der Nähe der University of Washington. Er trainierte im örtlichen YMCA und speiste in einem billigen thailändischen Restaurant. An einigen Terminen war er sogar mit einem Kellner dort.

Doch in einer feuchten Oktobernacht, 25 Jahre bevor das FBI an Paige Thompsons Tür klopfte, stürmte eine Gruppe Polizisten und Geheimdienstmitarbeiter bei Mitnick ein. Sie beschlagnahmten einen Laptop, Disketten und Kassetten von jemandem, von dem sie vermuteten, dass er die Telefondienste von McCaw Cellular Communications stiehlt – jemand namens Brian Merrill. Sie wussten noch nicht, dass sie das Haus eines weltbekannten Computerhackers betreten hatten, der Software von Motorola und anderen gestohlen hatte.

Mitnick, der gerade bei Kinko an seinem Lebenslauf gearbeitet hatte, als die Polizei vorbeikam, nachdem er den Job bei Virginia Mason verloren hatte, setzte sein Glück nicht aufs Spiel. Er floh in dieser Nacht und übernachtete in einem Motel am Pike Place Market, bevor er einen Bus nach Tacoma und einen Zug nach Portland nahm. Von dort reiste er quer durch das Land. Doch seine knappe Gefangennahme in Seattle war der Anfang vom Ende. Im Februar 1995 wurde er vom FBI in Raleigh, North Carolina, geschnappt.

Plötzlich ertönte der Slogan: „Was ist in deinem Portemonnaie?“ klang etwas aufdringlicher, als Capital One jemals beabsichtigt hatte.

Mitnicks fünfjährige Haftstrafe kam relativ früh im Kampf gegen die Cyberkriminalität. Die meisten Strafverfolgungsmaßnahmen basieren auf dem Computer Fraud and Abuse Act, der den Zugriff auf einen geschützten Computer „ohne Genehmigung“ oder „über den autorisierten Zugriff hinaus“ verbietet. Das Gesetz existierte erst 1986, etwa zu der Zeit, als das Wort „Hacker“ eine dunklere Bedeutung bekam.

Das Wort tauchte erstmals in den 1960er Jahren am MIT als Kosename für eine bestimmte Art von gegenkulturellen Programmierern auf – jemanden, der Gatekeeping verabscheute, sich an der Problemlösung ergötzte und in all diesen Einsen und Nullen eine bessere Welt sehen konnte. Doch in den frühen 80er Jahren, schreibt der Journalist (und ehemalige Hacker) Kevin Poulsen in Kingpin, erhielt es eine doppelte Bedeutung: „ein talentierter Programmierer, der sich aus eigener Kraft hochzog, und ein Freizeit-Computer-Eindringling.“ Um die Sache noch verwirrender zu machen: „Viele Hacker waren beides.“

Während Terroristen und Regierungen dem Wort „Hacken“ seitdem eine beängstigendere Bedeutung zugeschrieben haben, haben Technologieführer dem Wort etwas abgeschwächt. Unternehmens-Hackathons versuchen, die Hacker-Energie der alten Schule ohne all die Subversivität zu nutzen, insbesondere in Seattle, wo die Konvergenz boomender Software- und Kunstszenen einige der ersten Computer-Enthusiasten anzog, die die Grenzen der Unternehmensarbeit und des digitalen Aufstands austesteten.

Die Kameradschaft in der Hacker-Community der Stadt hält auch heute noch an, mit „Capture the Flag“-Wettbewerben, bei denen Computerfreaks nach versteckten Gegenständen in absichtlich anfälligen Programmen suchen, und mit Sicherheitskongressen wie der HushCon. Es ist auch ein zunehmend formbarer Begriff. Jetzt können wir alles hacken, vom Knallen von Champagnerkorken bis zum Falten eines Spannbettlakens.

Aber Hacking kann uns immer noch auf vielfältige Weise lahmlegen. Zu Beginn der Pandemie hat eine Betrügergruppe schätzungsweise 45,6 Milliarden US-Dollar von den Arbeitsämtern im ganzen Land erbeutet, darunter rund 645 Millionen US-Dollar aus Washington. Und letztes Jahr verzögerte ein Ransomware-Hack einer nationalen Gesundheitskette einen Eingriff wegen einer Gehirnblutung im St. Michael Medical Center in Silverdale und drosselte den Grundbetrieb im St. Joseph Medical Center in Tacoma. Zwischen diesen schlagzeilenträchtigen Verbrechen stieg die Zahl der Cyberangriffe in Washington von 38 im Jahr 2020 auf 245 im Jahr 2021.

Oftmals, sagt der US-Anwalt Nicholas Brown, haben Hacks ihren Ursprung im Ausland. Aber einer der größten hat direkt in unserem Hinterhof Wurzeln geschlagen.

Der Verkaufsautomat auf M&Ms und USB-Kabel verzichtet. Auf die langen weißen Arbeitstische passen jeweils die Laptops eines Startups. Fast ein Jahrzehnt lang war Metrix: Create Space am Broadway ein virtuelles Süßigkeitenland für eine Schar von Hackern – und ein Treffpunkt für Paige Thompson.

Ein Cybersicherheitsmitarbeiter namens Falcon Darkstar Momot traf sie dort, bevor Metrix im Jahr 2018 geschlossen wurde. Momot lernte Thompson kennen, wie scheinbar alle anderen damals: als brillanten Geist und leider auch als eine Art Troll. Sie versuchte, die Leute aufzurütteln, indem sie Dinge sagte, „die einen wirklich aus der Fassung bringen würden“, erinnert sich Momot. Sie belehrte sie über Passwortsicherheit und wagte sich regelmäßig an Übertreibungen, die alles übertrieben. „Weißt du, wenn du einen Stern siehst, beschreibst du ihn als Mond.“

Wie andere Freunde und Bekannte betrachtete Momot ihr Streben nach Aufmerksamkeit als einen Weg, aus der Leere der Isolation herauszukommen. Als Hilferufe.

Falcon Darkstar Momot traf Thompson bei einem Treffpunkt der starken Cybersicherheits-Community in Seattle.

Bild: Mike Kane

Thompson wurde 1986 in Kansas City, Missouri, geboren und wuchs hauptsächlich in Arkansas mit einer alleinerziehenden Mutter und schließlich einem missbräuchlichen Stiefvater auf, bevor sie nach Angaben ihres Verteidigungsteams in die Gegend von Seattle zog. Schon in jungen Jahren fand sie Trost in der Informatik und träumte davon, in einem Technologiezentrum zu arbeiten. Doch es fiel ihr schwer, sich auf ihr Studium zu konzentrieren, und so brach sie die Highschool bereits nach einem Jahr ab. Eine ADHS-Diagnose bot eine weitere mögliche Erklärung; Später führte sie ihr damaliges Leid eher auf „Geschlechtsinkongruenz“ zurück, wie aus einer Akte ihres Verteidigungsteams hervorgeht. Sie begann erst 2008 mit der geschlechtergerechten Pflege, etwa ein Jahrzehnt nach ihrer Umsiedlung in den pazifischen Nordwesten.

Als Teenager in Washington pendelte sie zwischen Häusern in Seattle und den Vororten hin und her und fand über das Internet eine stabile Gemeinschaft. Sie gehört zu einer ähnlich altklugen Clique von Computerfreaks, die über den Internet Relay Chat Wissen austauschen und lachen. Auf dieser Messaging-Plattform trug Thompson den Spitznamen „Zero“.

Tim Carstens traf kurz nach Thompsons Ankunft hier zum ersten Mal auf „Zero“ im IRC. Sie diskutierten über Computerprogrammierung, das Linux-Betriebssystem und andere „wirklich nerdige Dinge“, sagte Carstens, Chefingenieurin eines von Hackern gegründeten Startups in Seattle, während ihres Prozesses. In einer Gruppe talentierter Emporkömmlinge stach Thompson als „einer der Fähigeren“ hervor.

Aber „Zero“ erlangte auch den Ruf, andere Mitglieder der Gruppe zu spammen. Bald kristallisierte sich eine andere Bezeichnung heraus, die sie bis zu ihrer Festnahme als „unberechenbar“ bezeichnete.

Als er Thompson schließlich traf, bemerkte Carstens, dass sich ihr launenhafter Kommunikationsstil auch persönlich manifestierte. Es störte ihn nicht so sehr; Die beiden sind nun seit mehr als zwei Jahrzehnten befreundet. Aber er sah zu, wie Thompson alle ein oder zwei Jahre den Job wechselte, während die Karriere anderer begann.

Gleichzeitig war es angesichts all der technischen Raffinesse, die ihr zur Verfügung stand, leicht zu verstehen, warum Unternehmen immer wieder Risiken auf sie eingingen. Sogar einer, der alles zu verlieren hat.

Wir leben jetzt in der Cloud. Schauen Sie sich ein Netflix-Drama an, buchen Sie einen Delta-Flug, betreiben Sie einen Roomba – und schon unterstützen Sie nicht nur die Unternehmen vor Ihren Augen; Sie füllen damit indirekt die Taschen des Tech-Giganten, von dem sie bei Cloud-Computing-Diensten abhängig sind. In diesen Fällen und im Fall eines bestimmten Kreditkartenanbieters ist das Amazon Web Services.

Während Prime-Lieferungen die Schlagzeilen und lockeren Gespräche über Amazon dominieren, ist die Webservice-Tochter des E-Commerce-Riesen in aller Stille sein eigentlicher Geldverdiener. Im Jahr 2021 entfielen drei Viertel des Unternehmensgewinns auf AWS. So sehr viele Einwohner von Seattle es lieben, all diese Amazon-Lieferungen und Frischwarenlieferungen aus Prinzip zu umgehen, jedes Mal, wenn sie online gehen, säen sie im Grunde genommen die Einzelhandelsgeschäfte aus, die sie meiden. „AWS ist ausgefallen! Die Hälfte des Internets ist ausgefallen!“ Ein Reddit-Thread verkündete während eines Ausfalls im Dezember 2021, der alles kaputt machte, von Disney+ bis hin zu Smart-Home-Türklingeln.

Der Aufstieg von AWS und seinem engsten Konkurrenten, Microsoft Azure, ist eng mit einer zunehmend entlegenen Welt verbunden. Unternehmen benötigen keine klobigen „On-Premise“-Server mehr, die im Firmenschrank blinken und brennen. Organisationen unterschiedlicher Größe können in streng bewachten Rechenzentren auf der ganzen Welt so viel Serverraum mieten, wie sie benötigen.

Der Hack verdeutlichte das Ausmaß des Einflusses des in Seattle ansässigen Cloud-Computing-Riesen auf das moderne Leben, ein unsichtbares Rückgrat für alles, von Netflix-Streams bis hin zur Cloud-Sicherheitssoftware selbst.

Keines davon befindet sich in Washington – die nächstgelegenen Rechenzentren befinden sich in abgelegenen Gebieten am Columbia River in Oregon –, aber die Intelligenz, die diese Wolken hervorgebracht hat, kommt immer noch größtenteils aus Seattle. Amazon gründete AWS im Jahr 2006, nachdem erkannt wurde, dass die eigenen internen IT-Fähigkeiten für andere vermarktbar sein könnten. Bevor Jeff Bezos 2021 zurücktrat, ernannte er den damaligen AWS-CEO Andy Jassy zu seinem Nachfolger.

Täglich tummeln sich Scharen von AWS-Mitarbeitern zwischen den Hochglanztürmen in South Lake Union, nicht weit vom Bundesgericht entfernt. Am zweiten Tag von Thompsons Prozess im Juni 2022 ging Richter Lasnik zum Mittagessen hinaus und sah auf seiner Reise zu Whole Foods etwa 15 AWS-Rucksäcke und -Sweatshirts. Wie Lasnik es nach der Rückkehr aus der Pause ausdrückte: „Die Armee ist da draußen.“

Für einen kurzen Zeitraum gehörte Paige Thompson zu dieser Legion. Im Mai 2015 bekam sie eine Stelle als Systemingenieurin bei AWS und arbeitete für ein beträchtliches Gehalt an den Servern in diesen entfernten Rechenzentren. Endlich konnte sie sich eine eigene Wohnung leisten.

Doch die „Misshandlung“ durch einen Kollegen brachte sie in eine Abwärtsspirale, heißt es in einer Gerichtsakte ihres Verteidigungsteams. Das Mobbing erinnerte sie an frühere verbale Beschimpfungen und erinnerte sie daran, warum sie die Technologiekultur in Unternehmen gemieden hatte, bevor sie zu Amazon kam. Im Jahr 2016 kündigte sie ihren Job und fühlte sich immer isolierter, da sie keinen neuen Job fand. Sie verlor die Wohnung und da ihr das Geld ausging, stimmte sie zu, in das Haus eines Mannes in Beacon Hill zu ziehen, den sie auf Craigslist kennengelernt hatte – einer, der Schusswaffen in seinem Schlafzimmer versteckte.

Thompson, hager und mit braunem Haar, das bis zu einem Schultertattoo reichte, schlief auf einer Doppelmatratze in einem kleinen Schlafzimmer. Sie hatte zuvor mit psychischen Problemen und Drogenproblemen zu kämpfen, und ihre Depression verstärkte sich, als ihre Welt kleiner wurde und ihre Katze krank wurde. Sie war bemerkenswert offen über ein Leben, das, wie Momot es vor Gericht ausdrückte, „vollständig per Computer vermittelt“ wurde. Während es ihr gelang, nüchtern zu werden, wurde ihr digitales Verhalten nur noch verstörender.

Ein Ehepaar aus Seattle erwirkte 2018 Schutzanordnungen gegen sie, nachdem sie eine Reihe von Nachrichten erhalten hatten, die sie als Belästigung und Stalking betrachteten. Und im Mai 2019, nur zwei Monate vor der Razzia des FBI, schickte Thompson laut einem Polizeibericht einer ehemaligen Kollegin auf Twitter eine DM, dass sie ein Büro in Kalifornien „angreifen“ würde. Später fügte sie hinzu: „Vielleicht könnte die SPD etwas unternehmen und rüberkommen und mich erschießen.“

Thompson wurde wegen dieser Vorfälle nie verhaftet. Ihr Verteidigungsteam stellte fest, dass es sich dabei um Fragen der psychischen Gesundheit und nicht um die öffentliche Sicherheit handelte – sie hatte weder das Geld noch die Transportmittel, um zu diesem Büro in Kalifornien zu gelangen.

Freunde sagen auch, dass sie weder materialistisch noch gierig war – Tim Carstens schrieb, dass sie Popeyes in Renton dem Sushi in Belltown und Target dem Nordstrom vorzog. Sie gingen davon aus, dass ihr Beweggrund für den Angriff auf AWS-Kundenserver darin bestand, deren Verwundbarkeit der Öffentlichkeit zugänglich zu machen.

Wenn das ihre Absicht war, hat Thompson dafür nicht die traditionellen Kanäle genutzt. Nach dem Hack veröffentlichte sie Informationen darüber auf der Software-Entwicklungsseite GitHub. Dann begann sie ein schicksalhaftes Twitter-Gespräch.

Für einige Tage, Kat Valentine ignorierte den Rando, der in ihre DMs gerutscht war. Jemand mit dem Twitter-Namen „unberechenbar“ hatte begonnen, davon zu reden, sich eine Bombenweste anzuziehen und „Capitol ones dox fallen zu lassen“, einschließlich „ssns … mit vollem Namen und Geburtsdatum“. Dieser Benutzer hat sogar einige Links zu GitHub gepostet.

Zunächst lehnte Valentine, ein damals in Antioch, Kalifornien lebender Informationssicherheitsberater und Hacking-Enthusiast, die abwegigen Behauptungen ab. Sie hatte eine Freundin, die es liebte, Streiche zu spielen. Wahrscheinlich war sie es. Oder vielleicht einfach nur jemand, der die Hacker-Schuhe gesehen hat, über die Valentine auf Twitter gepostet hat, und etwas zu viel in sie hineininterpretiert hat.

Aber als „erratic“ immer wieder darauf drängte (über „gekaperte“ Daten, darüber, dass sie „bereit war, dass das hier ein Ende hat“), biss Valentine schließlich zu. Sie fragte, warum dieser Fremde sich ihr gegenüber outen wolle.

„Ich bin bereit, es mir verdammt noch mal anzusehen“, schrieb Paige Thompson zurück. „Es ist mir egal, ob es Gefängnis oder Tod ist.“

Als Valentine nicht antwortete, wurde Thompson feindselig. Sie warf einen 90er-Jahre-Hacker-Stil auf und bezeichnete sie als „Lam3r“, weil sie mit den Informationen nichts gemacht habe. Also blockierte Valentine sie. Aber nicht ohne eine letzte Nachricht zu senden. „Verpfeif dich selbst, FBI-Dot-Gouverneur, großer Homie.“

Thompson hat es nie getan. Ein paar Wochen später, am 4. Juli, machte eine Freundin von Valentine sie auf einen provokanten Tweet aufmerksam. Valentine hatte seinen Autor blockiert: „unberechenbar.“ Sie beschloss, diese GitHub-Links doch noch einmal zu prüfen. Ein kurzes Google mit ihrer Freundin bestätigte ihre Vermutung, dass es sich bei den dortigen Informationen um heruntergeladene Kreditkartendaten handelte. Ihre Freundin empfahl ihr, es Capital One zu melden. Nach zweiwöchiger Überlegung nahm Valentine am 17. Juli den Mut zusammen, dem riesigen Unternehmen eine E-Mail zu schicken.

Leere meinen Kalender,Michael Fisk teilte dies seinem Administrator am Morgen des 18. Juli mit. Der stellvertretende Chief Information Security Officer von Capital One war auf dem Weg zur Betriebszentrale der Unternehmenszentrale in Virginia. Er war gerade über eine beunruhigende E-Mail eines Whistleblowers informiert worden. Es enthielt einen Link zu Anweisungen zum Durchbrechen der Firewalls des Unternehmens. Er wusste sofort, dass das etwas Großes war.

Einen Tag später, nach einem Anruf bei Capital One, um zu besprechen, wie sie Zugang zu dem Link bekam, schickte Valentine eine weitere E-Mail mit Screenshots ihres Twitter-Gesprächs mit Thompson. Diejenige, in der Thompson sagte, sie wolle Sozialversicherungsnummern und andere persönlich identifizierbare Informationen „verteilen“. Jetzt war Fisk noch besorgter. Die nächsten zwei Wochen würden er und seine Kollegen praktisch in den Sicherheitsbüros von Capital One wohnen, während die FBI-Ermittlungen liefen.

In der Zwischenzeit prüfte Amazon Web Services, ob es einen eigenen Teil eines gemeinsamen Sicherheitsmodells aufrechterhielt. Während AWS die Hardware der Cloud – Software und all diese Rechenzentren – schützen muss, liegt der Schutz der Daten in der Cloud beim Kunden. Selbst die Cloud kann nicht helfen, wenn Sie das Handbuch nicht lesen. „Die Verantwortung dafür lag letztendlich bei Capital One“, sagte Steve Schuster, Leiter der AWS-Vorfallreaktion, am ersten Tag der Zeugenaussage. Fisk gab zu, dass es sich bei der Firewall-Installation um eine „Fehlkonfiguration“ handelte.

Der US-Anwalt Nicholas Brown hielt Thompsons Fall für gar nicht so schwer verständlich. „Sie ist in ein Geschäft eingebrochen und hat Sachen gestohlen.“

Bild: Mike Kane

Dieses Wort wurde zum Mittelpunkt eines Prozesses, bei dem es um Autorisierung und Zugang ging. Die Verteidigung bestritt nicht, dass Thompson ein Programm zum Scannen nach Firewall-Schwachstellen entwickelt hat oder dass sie Zugangsdaten für den Zugriff auf Daten erhalten hat. Rechtsanwalt Brian Klein, der Thompson vertritt, argumentierte, dass dies jeder hätte tun können. Doch einige Mitarbeiter von Capital One entschieden sich, die Firewall auf diese Weise zu konfigurieren. Hat ein Unternehmen, wenn es dabei unabsichtlich sensible Informationen öffentlich gemacht hat, die Erlaubnis erteilt, darauf zuzugreifen?

Das häufig geänderte Computer Fraud and Abuse Act der Bundesregierung ließ Raum für Interpretationen. Genug, um den in LA ansässigen Klein, der die Facebook-Whistleblowerin Frances Haugen vertrat, dazu zu inspirieren, sich dem Fall ehrenamtlich mit Thompsons öffentlichem Verteidigungsteam in Seattle anzuschließen. Vor dem Prozess plädierte Klein für eine strikte Auslegung der Genehmigung nach dem Motto „Tore hoch oder Tore runter“. Bundesanwältin Jessica Manca bevorzugte eine andere Metapher. „Wenn jemand einen Schlüsselbund fallen lässt, erhält er Zugang zu einem Haus. Es gibt derselben Person nicht die Berechtigung, das Haus zu betreten.“

Auch andere Unternehmen hatten ihre Firewalls manipuliert. Laut Fisk verfügte die Cybersicherheitsabteilung von Capital One jedoch über 700 Mitarbeiter und ein Budget in dreistelliger Millionenhöhe. Das war, wie Richter Robert S. Lasnik betonen würde, kein sehr sympathisches „Opfer“. Zumal der Tipp von Kat Valentine nicht der einzige Hinweis des Unternehmens auf einen Hackerangriff war.

Das Gekritzel auf dem Briefpapier des Hotels verwirrte Eric Brandwine.Open Socks Proxy35.162.65.136Kann IMS treffen – viel Sicherheit – Anmeldeinformationen

Der Vizepräsident und angesehene Ingenieur im Sicherheitsteam von Amazon Web Services hatte im Laufe seiner Karriere zahlreiche Tipps gesehen, aber – eine physische Notiz? Im Jahr 2019? Bei einem Treffen von Technikprofis? Seltsam. Sie kamen immer elektronisch herein.

Brandwine und einige der anderen technischen Top-Talente des Unternehmens hatten sich im Mai 2019 in einem Sheraton in der Innenstadt zu einem jährlichen Offsite-Event in Seattle versammelt. Die Konferenz sollte auf Amazon-Mitarbeiter beschränkt bleiben.

Wer hat dir das gegeben? Er fragte den Chefingenieurkollegen, der es ihm gegeben hatte.

Der Kollege antwortete auf Brandwines Erinnerung: „‚Mir wurde das gerade gegeben und ich wurde gebeten, es Ihnen zu geben, und das ist es, was ich tue.‘“

Obwohl die Nachricht eindeutig auf eine Sicherheitsverletzung hindeutete, konnte Brandwine ohne Kontaktinformationen, die weiterverfolgt werden könnten, keine genaueren Angaben machen. Er machte ein Foto von der Notiz und schickte sie noch am selben Tag an den Bereitschaftsdienst. Dann vergaß er alles.

Es stellte sich heraus, dass die IP-Adresse Capital One gehörte. AWS teilte seinem Kunden den Hinweis mit. Aber das Kreditkartenunternehmen hat zu diesem Zeitpunkt nichts gefunden, was seiner Meinung nach weiter verfolgt werden sollte. („Capital One hat schnell und umfassend gehandelt, um den Verstoß zu beheben und mögliche Schäden für Verbraucher abzumildern“, schrieb ein Unternehmenssprecher in einer Erklärung.)

Später, nach Valentins E-Mail, legten die Führungskräfte von Capital One die Theorie vor, dass entweder Thompson oder ein Mitarbeiter versucht hatte, ihnen die Nachricht zuzustecken. Doch in der Theorie des Unternehmens waren einige grundlegende Informationen falsch, etwa der Ort und der Zeitpunkt der Konferenz.

Der Ursprung der Nachricht wurde vor Gericht nicht geklärt. Die Verteidigung deutete an, dass Thompson möglicherweise dahintersteckte, sie wurde jedoch nie in den Zeugenstand gezogen, um eine endgültige Antwort zu geben. Lasnik hielt es für „eine unbewiesene Tatsache“. Und aus welchem ​​Grund auch immer, niemand drängte Brandwine allzu sehr darauf, warum er seinen Kollegen nicht um weitere Informationen über den Kurier der Notiz bat. Die Frage blieb also bestehen: Hatte Thompson verspätet versucht, ihren Hack auf verantwortungsvolle Weise offenzulegen? Ein ethischer oder White-Hat-Hacker sein?

Ihr Verteidigungsteam würde argumentieren, dass sie nach dem Herunterladen der Daten „ausgeflippt“ sei und mehrere Personen kontaktiert habe, um das Sicherheitsrisiko zu erhöhen. Sie hat nie den Schritt unternommen, den Kat Valentine getan hat, als sie eine E-Mail an das E-Mail-Konto für verantwortungsvolle Offenlegung von Capital One gesendet hat. Doch dieser traditionelle Weg zur Meldung einer Schwachstelle ist in der Hacking-Welt umstritten. Unternehmen haben oft wenig Anreiz, an die Börse zu gehen, wenn sie gehackt wurden. Und da der schlammige Computer Fraud and Abuse Act immer noch der Standard ist, ist die Grenze zwischen der Wahrnehmung als barmherziger Samariter oder als Verdächtiger unsicher. Vielleicht hatte Thompson einfach nur Angst, postulierten ihre Anwälte.

Dennoch sind viele Maßnahmen vor einer Offenlegung definitiv auf der einen oder anderen Seite, so David Kohlbrenner, Co-Direktor des Security and Privacy Research Lab an der University of Washington. Persönlich identifizierbare Informationen – diese überaus wichtigen Bankkonto- und Sozialversicherungsnummern – als externe Partei beschaffen, wie es Paige Thompson getan hat? Nicht annähernd. „Das ist über der Grenze.“

Am 17. Juni 2022 verkündete die Jury ihr Urteil. Nach zehnstündiger Beratung befand es Thompson des Überweisungsbetrugs, der unrechtmäßigen Beschaffung von Informationen von einem Kartenaussteller, der „Übertragung eines Programms, einer Information, eines Codes oder eines Befehls an einen Computer mit der Absicht, Schaden anzurichten“ und vier Fällen der unrechtmäßigen Beschaffung von Informationen für schuldig von einem geschützten Computer aus. (Sie wurde weder des schweren Identitätsdiebstahls noch des unrechtmäßigen Besitzes unbefugter Zugangsgeräte für schuldig befunden.) Der Termin für die Verurteilung würde später folgen.

Anschließend ging Thompson mit Falcon Momot und einigen anderen Unterstützern vom Gerichtsgebäude zum Fonté Café. Beim Kaffee gab Thompson zu, dass sie ein paar dumme Dinge gesagt hatte, erinnert sich Momot. Zum ersten Mal erkannte sie die Kosten ihres Online-Verhaltens, auch wenn sie noch nicht genau wusste, welche Konsequenzen dies haben würde.

Waymon Ho drehte sich um und versuchte, nicht überrascht zu wirken. Es war der 15. August 2022 und der FBI-Informatiker befand sich auf einem Delta-Flug zurück nach Seattle, nachdem er das Wochenende auf der Def Con in Las Vegas verbracht hatte. Es hätte eine ruhige Heimfahrt werden sollen, aber ein lauter Mann hinter ihm machte Ohrstöpsel zwecklos. Ho wurde noch abgelenkter, als er endlich die andere Seite des Gesprächs hörte. Er erkannte diese Stimme. Ein Blick nach hinten bestätigte es: Genau dort, auf Platz 19B, saß Paige Thompson.

Weniger als zwei Monate nach ihrer Verurteilung sei Thompson in ein Flugzeug gesprungen, um sich die größte Hacking-Convention der Welt anzuschauen, stellte Ho fest, während er alles aufschrieb, was er belauschen konnte. Der Mann neben ihr war auch dabei. Sie sprachen über Schwachstellenforschung und Malware sowie das Videospiel Counter-Strike. Bevor sich die Wege trennten, bekundete der Mann Interesse daran, Thompsons Internet Relay Chat beizutreten. Sie brachte die Idee ins Spiel, für den Kongress im nächsten Jahr ein Capture-the-Flag-Team zu bilden.

„Zehn Richter könnten in dieser Situation zehn verschiedene Urteile fällen“, räumte Lasnik ein.

Staatsanwalt Andrew Friedman würde diese zufällige Begegnung bei der Anhörung zur Urteilsverkündung am 4. Oktober zur Sprache bringen. Zu diesem Zeitpunkt standen Thompsons Online-Aktivitäten seit Jahren unter strenger Aufsicht, und obwohl sie die Erlaubnis erhalten hatte, an der Def Con teilzunehmen, sollte dies bei ihrer Internetnutzung der Fall sein auf arbeitssuchende Tätigkeiten beschränkt sein. Ihr Gespräch im Flugzeug über das Abhängen im Internet Relay Chat deutete darauf hin, dass sie sich verirrt hatte. (Thompson und ihr Verteidigungsteam bestritten, dass sie online irgendetwas getan hatte, das nichts mit ihrer Beschäftigung zu tun hatte.)

Friedman und sein Unternehmen empfahlen für Thompson eine Gefängnisstrafe von sieben Jahren, was weit unter den Richtwerten für die Verurteilung von 210 bis 262 Monaten liegt. Thompsons Anwaltsteam konterte mit einer verbüßten Strafe und einer überwachten Freilassung. Dann wandte sich Thompson zum ersten Mal mit einer Erklärung an das Gericht.

Sie habe vor kurzem die offizielle Diagnose einer Autismus-Spektrum-Störung erhalten, sagte sie, etwas, das sie vermutet, aber nie genau gewusst habe. Sie wollte „wieder erwerbstätig sein und etwas Sinnvolles für die Welt beitragen“. Richter Lasnik fragte, ob das alles sei. „Danke, Sir“, antwortete sie, bevor sie sich korrigierte. „Vielen Dank, Euer Ehren. Und es tut mir sehr leid.“

Bevor Lasnik sein Urteil fällte, erinnerte er das Gericht daran, dass das Gefängnis für Transsexuelle besonders hart sein kann. Selbst wenn das Bureau of Prisons seine Politik seit Thompsons Inhaftierung im Jahr 2019 geändert hätte – Thompson könnte nun möglicherweise in einem Frauengefängnis landen –, könnte ein Wahlergebnis im Jahr 2024 diese Leitlinien gefährden.

Lasnik würde das Risiko nicht eingehen. Er verurteilte sie zu einer Haftstrafe und fünf Jahren auf Bewährung. Ihre elektronischen Geräte würden kontinuierlich überwacht. „Zehn Richter könnten in dieser Situation zehn verschiedene Urteile fällen“, räumte Lasnik ein. Sein Sohn teilte ihm später auf Reddit mit, dass er getötet wurde.

Auch Nicholas Brown war nicht glücklich. Nach den Maßstäben eines Staatsanwalts ist er kaum ein strafender Typ – Brown hat dazu beigetragen, ein Moratorium für die Todesstrafe im Bundesstaat Washington einzuführen. Doch der erste schwarze US-Anwalt für den Western District of Washington unternahm den seltenen Schritt, nach der Urteilsverkündung in einer Erklärung seine Enttäuschung über das Urteil zum Ausdruck zu bringen. „So sieht Gerechtigkeit nicht aus.“

Ein paar Monate später wollte Brown in seinem Eckbüro nicht, dass seine Worte als Anklage gegen Lasnik rüberkamen. Er respektiert den Richter. Er bezeichnete Lasniks Bedenken hinsichtlich Thompsons Gesundheitszustand im Gefängnis als „berechtigt“. Er befürchtet jedoch, dass das Urteil weder Hacker abschrecken noch die Ängste der Verbraucher zerstreuen wird. Und trotz all des Hin und Her während eines drei Jahre dauernden Falles war Brown nicht überzeugt, dass Thompsons Trick wirklich so kompliziert war. „Sie ist in ein Geschäft eingebrochen und hat Sachen gestohlen“, sagt er. „Und ich denke, die Leute verstehen das.“ (Später wurde ihr auferlegt, etwa 10.000 US-Dollar an Krypto-Einnahmen einzubüßen, die über gehackte Clouds geschürft wurden, und, symbolischer ausgedrückt, Capital One mehr als 40.750 US-Dollar als Entschädigung zu zahlen.)

Ende 2022 legte Thompson Berufung gegen die Ablehnung einzelner Anträge auf ein neues Verfahren und Freispruch sowie gegen ihre Straf-, Beschlagnahmungs- und Rückerstattungsurteile durch das Gericht ein. Freunde berichteten, dass sie in einem stabilen Zuhause mit unterstützenden Mitbewohnern und einer neuen Katze lebte.

Und obwohl sie sich weigerte, über ihren Anwalt für diese Geschichte interviewt zu werden, taucht ihre Stimme im Internet wieder auf. Ihr Blog enthält Techno-Setlists, eine Spielidee und einen Schlüssel zur Verschlüsselung. Oben steht ein Haftungsausschluss. „Bitte verwenden Sie diesen Schlüssel nicht, um mich wegen illegaler Aktivitäten zu kontaktieren. Meine Kommunikation unterliegt der Überwachung und ich habe kein Interesse.“

Sie hat den „unberechenbaren“ Account auf Twitter aufgegeben und ihr Bestreben, wieder in die Reihen der Techniker in Seattle einzusteigen, hat zu einer Flut von LinkedIn-Aktivitäten geführt. Zusätzlich zu ihrem Profil listet Thompson Dienstleistungen auf, die sie potenziellen Kunden anbieten kann. Darunter? Internet-Sicherheit.

Jahresrückblick

27.12.2022VonSeattle Met Staff

Tournotizen

08.02.2023VonAngela Cabotaje

ICYMI

22.02.2023Von Angela Cabotaje und Benjamin Cassidy

Technik-Gespräch

08.03.2023VonAngela Cabotaje