Der globale Zahlungsdienstleister Checkout.com hat einen Sicherheitsvorfall bestätigt, bei dem Angreifer aus dem Umfeld der Gruppe ShinyHunters Zugriff auf sensible Daten erhielten und Lösegeld forderten. Das Unternehmen verweigert die Zahlung und kündigt zusätzliche Investitionen in Sicherheitsmaßnahmen sowie Spenden an zwei Forschungseinrichtungen an.
Was betroffen ist: Altes Drittanbieter-Cloud-Archiv als Eintrittspunkt
Laut Checkout.com nutzten die Angreifer ein veraltetes, externes Cloud-Dateiarchiv, das bis 2020 im Einsatz war und nicht vollständig außer Betrieb genommen wurde. In diesem Speicher lagen noch vertrauliche Materialien, darunter Unterlagen zu Händlern (Merchants), interne operative Dokumente sowie Onboarding-Materialien.
Nach derzeitiger Bewertung betrifft der Vorfall weniger als 25% der aktuellen Kundenbasis; ehemalige Kunden können ebenfalls betroffen sein. Es gibt bislang keine Hinweise auf kompromittierte Zahlungskarten- oder Kontodaten.
Angreiferprofil: ShinyHunters und verknüpfte Akteure
ShinyHunters wird in letzter Zeit auch als Scattered Lapsus$ Hunters beschrieben – ein loses Geflecht mit Bezug zu Scattered Spider und LAPSUS$. Die Gruppe ist bekannt für Phishing, Missbrauch von OAuth und Social Engineering zur Kompromittierung von Unternehmensumgebungen mit anschließender Erpressung. Sicherheitsforscher brachten sie zudem mit der Ausnutzung eines Zero-Day in Oracle E‑Business Suite (CVE‑2025‑61884) sowie Angriffen auf Salesforce und Drift in Verbindung, die zahlreiche Organisationen betrafen.
Reaktion von Checkout.com: Kein Lösegeld, Fokus auf Resilienz
Checkout.com bekräftigte, kein Lösegeld zu zahlen. Stattdessen fließen Beträge in der Größenordnung der Forderung an Carnegie Mellon University und das Oxford Cyber Security Centre, um Forschung gegen Cyberkriminalität zu fördern. Parallel habe man Schutzmechanismen modernisiert und Prozesse verschärft, um ähnliche Vorfälle künftig zu verhindern.
Analyse: Warum „vergessene“ Cloud-Assets ein systemisches Risiko sind
Der Vorfall verdeutlicht die Risiken von Legacy-Assets und unvollständiger De-Kommissionierung. Nicht mehr aktiv genutzte Speicher enthalten oft Zugriffsdaten, Archive und sensible Dokumente, sind jedoch nicht mehr im Inventar und werden weder überwacht noch gehärtet. Branchenberichte wie der Verizon Data Breach Investigations Report (DBIR) 2024 zeigen, dass der Human Factor und Fehlkonfigurationen zu den häufigsten Ursachen zählen; in Summe ist bei rund zwei Dritteln der Vorfälle menschliches Verhalten beteiligt. Die ENISA Threat Landscape stuft zudem Cloud-Fehlkonfigurationen und unzureichendes Asset-Management als wiederkehrende Kernprobleme ein.
Typische Schwachstellen sind „offene“ Buckets, alte Accounts, nicht widerrufene Schlüssel und lange gültige OAuth-Tokens. Abhilfe schaffen ein vollständiges Asset-Register inkl. Drittanbieter-Accounts, formalisierte Außerbetriebnahme (inkl. Datenlöschung), Least Privilege, regelmäßige Schlüssel- und Token-Rotation, kontinuierliches Monitoring (SIEM/SOAR) und Data Loss Prevention (DLP). Cloud Security Posture Management (CSPM) hilft, Fehlkonfigurationen frühzeitig aufzudecken.
Folgen für Kunden und Lieferketten: Social Engineering im Fokus
Die entwendeten Onboarding- und Operativdokumente können Phishing und Supply-Chain-Angriffe erleichtern: Täuschend echte E-Mails, vermeintliche Verifizierungsprozesse oder gefälschte Support-Workflows werden wahrscheinlicher. Organisationen sollten ausgehende und eingehende Anfragen strenger validieren, Ausnahmen in E-Mail-Sicherheitsrichtlinien prüfen, Integrations-Tokens rotieren, API-Anomalien überwachen und Mitarbeitende gezielt zu BEC-Szenarien schulen.
Praktische Maßnahmen für Fintechs und große Händler
Empfehlenswert sind kurzfristige Überprüfungen historischer Cloud-Speicher und Zugriffsrechte, das Schließen verwaister Integrationen, die Härtung von OAuth-Flows (z. B. Consent, Scopes, Token-Lebensdauer), sowie Playbooks für Incident Response mit klaren Containment– und Eradication-Schritten. Lieferantenrückfragen, Vertragsergänzungen zu De-Kommissionierung und abgestimmte Informationspflichten stärken die gesamte Kette.
Der Fall Checkout.com zeigt, dass Cyberresilienz im Fintech nicht nur an der Perimeter-Abwehr entschieden wird, sondern an der Disziplin im Lebenszyklus-Management von Daten und Cloud-Services. Unternehmen sollten zeitnah Legacy-Bestände auditieren, Zugriffe konsolidieren und OAuth-Integrationen härten. Wer diese Hausaufgaben mit kontinuierlichem Monitoring und klarer Lieferantensteuerung verbindet, reduziert das Angriffsrisiko und begrenzt im Ernstfall die Auswirkungen für Kunden und Partner.
