### Details zum Einbruch Die **Europäische Kommission** hat den Datendiebstahl am 27. März öffentlich bestätigt, nachdem BleepingComputer Nachfragen gestellt hatte. Der Vorfall ereignete sich durch eine Kompromittierung der **Amazon Web Services (AWS)** Cloud-Umgebung der Kommission. **CERT-EU** wurde am 24. März, fünf Tage nach dem ersten Einbruch, über die Intrusion informiert, was auf eine Verzögerung bei der Erkennung der bösartigen Aktivität hinweist. ### Angriffsvektor: Gestohlene AWS-Zugangsdaten Am 19. März nutzte **TeamPCP** einen kompromittierten AWS API-Schlüssel aus, der ihnen Verwaltungsrechte über andere AWS-Konten der **Europäischen Kommission** verschaffte. Der API-Schlüssel wurde während des **Trivy** Supply-Chain-Angriffs gestohlen. Die Angreifer nutzten dann **TruffleHog**, ein Tool zum Scannen und Validieren von Cloud-Zugangsdaten, um weitere Geheimnisse aufzudecken. Um einer Entdeckung zu entgehen, fügten sie einen neu erstellten Zugriffsschlüssel zu einem bestehenden Benutzerkonto hinzu, bevor sie mit der Aufklärung und dem Datendiebstahl begannen. ### Modus Operandi von TeamPCP **TeamPCP** hat eine Vorgeschichte bei der Orchestrierung von Supply-Chain-Angriffen, die auf Entwickler-Code-Plattformen wie **GitHub**, **PyPi**, **NPM** und **Docker** abzielen. Die Gruppe steckte auch hinter der Kompromittierung des **LiteLLM PyPI-Pakets**, bei der die Informationsdiebstahl-Malware „TeamPCP Cloud Stealer“ eingesetzt wurde, die Zehntausende von Geräten beeinträchtigte. ### Datenleck und Auswirkungen Am 28. März veröffentlichte die Datenerpressergruppe **ShinyHunters** die gestohlenen Daten auf ihrer Dark-Web-Leak-Seite. Das Archiv mit insgesamt 90 GB (340 GB unkomprimiert) enthielt Namen, E-Mail-Adressen und E-Mail-Inhalte. Die Analyse von **CERT-EU** bestätigte den Diebstahl von Zehntausenden von Dateien mit persönlichen Informationen, Benutzernamen und E-Mail-Inhalten. Der Einbruch betrifft potenziell 42 interne Kunden der **Europäischen Kommission** und mindestens 29 weitere Unionseinheiten, die den Webhosting-Dienst europa.eu nutzen.  „Der Bedrohungsakteur nutzte das kompromittierte AWS-Geheimnis, um Daten aus der betroffenen Cloud-Umgebung zu exfiltrieren. Die exfiltrierten Daten beziehen sich auf Websites, die für bis zu 71 Kunden des Europa-Webhosting-Dienstes gehostet wurden: 42 interne Kunden der Europäischen Kommission und mindestens 29 weitere Unionseinheiten“, erklärte **CERT-EU**. Der geleakte Datensatz enthält persönliche Daten wie Namen, Benutzernamen und E-Mail-Adressen, hauptsächlich von den Websites der **Europäischen Kommission**, aber potenziell auch von Benutzern mehrerer Unionseinheiten. Er enthält auch mindestens 51.992 Dateien im Zusammenhang mit ausgehenden E-Mail-Kommunikationen mit einer Gesamtgröße von 2,22 GB. Während die meisten davon automatisierte Benachrichtigungen sind, können „Bounce-Back“-Benachrichtigungen benutzergenerierte Inhalte enthalten, was ein Risiko für die Offenlegung persönlicher Daten darstellt. **CERT-EU** bestätigte, dass keine Websites offline genommen oder manipuliert wurden und keine laterale Bewegung zu anderen AWS-Konten der Kommission festgestellt wurde. Die **Europäische Kommission** hat die zuständigen Datenschutzbehörden benachrichtigt und steht in direktem Kontakt mit den betroffenen Einrichtungen. Die Analyse der exfiltrierten Daten läuft und wird voraussichtlich noch viel Zeit in Anspruch nehmen. Dieser Vorfall folgt auf einen früheren Datendiebstahl, der von der **Europäischen Kommission** im Februar offengelegt wurde und eine kompromittierte Mobile Device Management-Plattform betraf, die zur Verwaltung von Mitarbeitergeräten verwendet wurde.