Google hat einen betrügerischen Zugang im Law Enforcement Request System (LERS) identifiziert und umgehend deaktiviert. Parallel dazu behaupteten Mitglieder einer Gruppierung, die sich als Scattered LAPSUS$ Hunters bezeichnet, in Telegram Zugang sowohl zum LERS-Portal als auch zur FBI-Verifikationsplattform eCheck erlangt zu haben. Während das FBI laut Medienberichten keinen Kommentar abgab, betonte Google, dass über den gefälschten Account keine Anfragen versendet und keine Nutzerdaten abgerufen wurden.
Google LERS und FBI eCheck: warum diese Schnittstellen kritisch sind
LERS dient Behörden zur Übermittlung von Gerichts- und Eilbeschlüssen sowie Emergency Data Requests (EDR) an Google. FBI eCheck unterstützt Identitätsprüfung und Datenaustausch in Ermittlungen. Unautorisierter Zugriff auf solche Portale birgt das Risiko der Imitation legitimer Behördenanfragen. Selbst bei formal korrekter Abwicklung könnten Provider sensible Daten herausgeben, wenn Täuschungen nicht erkannt werden.
Behauptungen der Angreifer und Position von Google
Die Akteure veröffentlichten Screenshots als angebliche Belege für Zugriffe auf LERS und eCheck und kündigten an, «in den Untergrund» zu gehen. Google bestätigte ausschließlich das Auftauchen eines Fake-Profils im LERS, das vor jeglicher Aktivität gesperrt wurde; eine Datenkompromittierung sei nicht nachgewiesen. Unabhängige Beobachter halten es für plausibel, dass sich die Gruppe künftig verdeckter bewegt, ohne öffentliche Prahlerei.
Akteure und TTPs: Scattered Spider, LAPSUS$ und Shiny Hunters
Die selbsternannten Scattered LAPSUS$ Hunters werden mit Scattered Spider, LAPSUS$ und Shiny Hunters in Verbindung gebracht. Bekannt sind Taktiken der sozialen Ingenieurkunst und die Ausnutzung legitimer Tools. Berichtet wurde u. a. von erzwungenen Verbindungen des Salesforce Data Loader zu Unternehmensinstanzen für Datendiebstahl, der Kompromittierung eines Salesloft-Repos, Secret-Suche via TruffleHog und der Verwendung erlangter Tokens für Folgetaten im Salesforce-Ökosystem. Forschungsteams von Google Threat Intelligence (Mandiant) machten entsprechende Kampagnen publik und beschleunigten so Härtungsmaßnahmen in der Branche; die Täter reagierten mit Spott und einer auf BreachForums-naher Infrastruktur veröffentlichten «Einstellungserklärung», die Experten als taktischen Rückzug werten.
EDR-Betrug: ein strukturelles Vertrauensproblem
EDR und richterliche Anordnungen werden oft beschleunigt bearbeitet und basieren auf hohem institutionellem Vertrauen. Gelingt es Angreifern, Behördenzugehörigkeit plausibel zu fälschen oder glaubhafte Accounts in LEA-Portalen zu erstellen, droht eine Datenausgabe «per Verfahren». Bereits 2022 wurden gefälschte EDRs in mehreren Fällen gegen große Plattformen eingesetzt; Gruppen mit LAPSUS$-Bezug nutzten dabei kompromittierte Behörden-Accounts als Hebel. Branchenberichte wie der Verizon DBIR 2024 unterstreichen, dass Pretexting und Social Engineering weiterhin führende Initialzugriffsvektoren sind, insbesondere in datengetriebenen SaaS-Umgebungen.
Empfohlene Schutzmaßnahmen für Provider und Unternehmen
Für Provider und Betreiber von LEA-Portalen: Phishing-resistente MFA (z. B. WebAuthn/Hardware-Keys) und strikte Identitäts-/Berechtigungsprüfungen bei Accountausgabe; out-of-band-Verifikation sämtlicher EDRs über vorab vereinbarte Kanäle; Least Privilege und strikte Segmentierung, damit einzelne Konten keine breite Anfragemacht erhalten; kontinuierliche Anomalieerkennung (Volumen, Geografie, Zeitmuster); klare Prozesse für schnelle Deprovisionierung und Schlüsselrotation.
Für Unternehmen (SaaS, DevOps, SecOps): Minimale Rechte und kontrollierte Nutzung von Tools wie Salesforce Data Loader; Verbot unbefristeter Personal-Tokens und Einsatz kurzlebiger Anmeldeinformationen; Secret-Scanning (z. B. TruffleHog, gitleaks) und Git-Härtung (Branch-Protection, SSO, verpflichtende MFA); DLP und detailliertes Logging zur Erkennung unüblicher CRM-Exporte; regelmäßige Social-Engineering-Übungen und Call-back-Bestätigungen für alle außerplanmäßigen Datenanforderungen.
Die aktuelle Lage zeigt: Nicht nur Technologien, sondern Vertrauensprozesse sind Angriffsfläche. Organisationen sollten ihre Verfahren für Rechtsanfragen kritisch prüfen, Sichtbarkeiten und Rechte feingranular begrenzen und mehrstufige Verifikationen für EDR etablieren. Wer jetzt phishing-resistente Authentifizierung, Secret-Scanning und stringent validierte Eilprozesse implementiert, senkt das Risiko erfolgreicher Imitationsangriffe deutlich und stärkt die Resilienz gegenüber Social-Engineering-getriebenen Bedrohungen.
