Thought Leadership
Ein Insasse hat sich über Schwachstellen in Kiosk-Terminals Administratorzugriff auf die zentrale IT-Plattform des rumänischen Justizvollzugs verschafft und monatelang unbemerkt Konten manipuliert. Ein Account wies am Ende umgerechnet 1,15 Millionen Euro auf.
Zwischen August und Oktober gelang es Häftlingen, sich unauthorisierten Zugang zur zentralen Verwaltungsplattform der Nationalen Gefängnisverwaltung (ANP) zu verschaffen und umfangreiche Manipulationen vorzunehmen. Das berichten rumänische Medien.
Vom Tablet zum Admin-Zugang
Den Ausgangspunkt bildete ein Gefängniskrankenhaus in der transsilvanischen Stadt Dej. Ein Häftling, eigenen Angaben zufolge wegen IT-Delikten inhaftiert, entdeckte Sicherheitslücken in den für Insassen bereitgestellten Tablets und Kiosk-Systemen. Diese Geräte dienen normalerweise dazu, Anträge zu stellen, durch Arbeit erworbene Haftreduzierungen zu verwalten oder das Kantinenkonto aufzuladen.
Die Schwachstelle: Durch bestimmte Eingaben ließ sich die ANP-Anwendung in den Hintergrund schieben, wodurch andere auf dem Gerät laufende Programme zugänglich wurden. Darunter befand sich ein Browser mit Zugriff auf Netzwerkressourcen wie das Druckersystem der Verwaltung. Über diesen Weg gelangte der Häftling an Anmeldedaten eines ehemaligen Gefängnisdirektors mit vollständigen Administratorrechten für das landesweite System.
Verbreitung über mehrere Anstalten
Da das Krankenhaus in Dej als Durchgangsstation für erkrankte Häftlinge aus verschiedenen Einrichtungen fungiert, verbreitete sich das Wissen um die Sicherheitslücke rasch. Besonders aktiv wurde Aurel Z., der nach seiner Verlegung in die Justizvollzugsanstalt Târgu Jiu im Juli die Methode dort ebenfalls erfolgreich anwenden konnte. Die Zugangsdaten funktionierten systemweit.
Seine ersten Aktionen galten dem Freischalten von Erwachseneninhalten für Mitgefangene. Danach konzentrierte er sich auf die Manipulation von Finanzkonten: Durch das Anhängen von Nullen an Beträge, das Löschen von Ausgabenhistorien und die Änderung von Arbeitsgutschriften manipulierte er die Konten von mindestens 15 Häftlingen.
Aufdeckung durch unrealistische Summen
Der Betrug flog auf, als die Beträge jedes realistische Maß überschritten. Ein Häftlingskonto wies plötzlich 5 Millionen Lei auf, umgerechnet etwa 1,15 Millionen Euro. Aurel Z. selbst gab monatlich bis zu 10.000 Lei aus, was rund 2.300 Euro entspricht und nahezu das Dreifache des rumänischen Mindestlohns beträgt. Für einen Inhaftierten eine offensichtliche Anomalie.
Mitarbeiter der CEC Bank stießen auf die Unstimmigkeiten zwischen Einzahlungen, Kontoständen und tatsächlichen Ausgaben. Die daraufhin eingeleitete Untersuchung führte Anfang Oktober zur Entdeckung des Hacks. Als Sofortmaßnahme entfernte die Anstaltsleitung Tastaturen von den Kiosks und zog Tablets ein.
Versäumnisse bei der Überwachung
Die Gewerkschaft der Gefängnispolizei berichtet von betroffenen Standorten in Dej, Târgu Jiu, Timișoara und Pelendava bei Craiova. Das Unglaubliche: Aurel Z. war über 300 Stunden mit Admin-Rechten im System aktiv, ohne dass Sicherheitsmechanismen anschlugen.
Schwere Vorwürfe richten sich gegen die ANP-Leitung: Bereits vor der offiziellen Entdeckung hatten Aufsichtspersonal und Schichtleiter Hinweise auf ungewöhnliche Aktivitäten gemeldet. Gerüchte über manipulierte Guthaben machten unter Insassen die Runde. Ein Informant soll die Behörde sogar eine Woche vor der Aufdeckung explizit gewarnt haben, ohne dass reagiert wurde.
Der ursprüngliche Entdecker der Lücke, der sich als Anonymous-Mitglied bezeichnet, meldete sich mittlerweile bei der Gewerkschaft und präsentierte weitere Schwachstellen in der Anwendung.
Kurz vor der Freilassung erwischt
Für Aurel Z. endet die Aktion vermutlich mit einer erheblichen Haftverlängerung. Der wegen Geldwäsche für die italienische Mafia zu neun Jahren und zehn Monaten Verurteilte hätte im Januar 2025, nur fünf Monate nach dem Hack, entlassen werden sollen.
