Tillie Kottmann

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Tillie Kottmann (März 2021)

Tillie Kottmann (* 7. August 1999), auch bekannt unter ihren Pseudonymen deletescape und tillie crimew, ist eine nichtbinäre Schweizer Software-Entwicklerin und Computer-Hackerin. Kottmann wurde vor allem bekannt durch ihr angebliches Veröffentlichen von Quellcode von Dutzenden Firmen und für die Beteiligung am Angriff auf die kalifornische Sicherheits-Firma Verkada im Jahr 2021. Kottmann wurde dafür im März 2021 in den Vereinigten Staaten durch ein Geschworenengericht angeklagt.

Daten- und Quellcode-Veröffentlichungen[Bearbeiten | Quelltext bearbeiten]

Im Juli 2020 veröffentlichte Kottmann via GitLab Quellcode von Dutzenden von Firmen.[1] Am 6. August 2020 lud Kottmann mehr als 20 Gigabyte an Daten und Quellcode aus Intels Eigentum auf die Backup-Plattform Mega hoch.[2] Die Daten stammten von einem anderen Hacker, welcher behauptete, er hätte sie bei einem Einbruch bei Intel im Mai 2020 erbeutet.[3] Er beschrieb sie als erste Tranche, welcher noch weitere Intel-bezogene Daten folgen würden.[2][4] Im Januar 2021 war Kottmann in eine Quellcode-Veröffentlichung von Nissan involviert, bei welchem Kottmann behauptete, ihn erbeutet zu haben, nachdem eine anonyme Quelle Kottmann über einen Server informiert hätte, der mit dem Standard-Benutzernamen und -Passwort aufgesetzt worden sei.[5][6] Kottmann meinte, dass die meisten ihrer Eingriffe in Computersysteme nicht viele technische Fähigkeiten benötigt hätten.[7]

Verkada-Hack[Bearbeiten | Quelltext bearbeiten]

Am 8. März 2021 verschaffte sich eine Gruppe von Hackern, welche sich «APT-69420 Arson Cats»[8] nannten und zu denen Kottmann gehörte, Super Admin-Berechtigungen im Computer-Netzwerk von Verkada, einer cloud-basierten Firma für Sicherheitskameras. Dieser Zugriff blieb während 36 Stunden unbemerkt.[9] Die Gruppe sammelte etwa 5 Gigabytes an Daten inklusive Videoaufzeichnungen von über 150'000 Kameras, die an Plätzen wie einer Tesla-Fabrik, einem Gefängnis in Alabama, einem Spital in Halifax oder in Altersheimen installiert waren.[10][11] Die Gruppe griff auch auf eine Liste von Verkada-Kunden und auf die Finanzinformationen der Firma selber zu[12] und erhielt darüber hinaus Super User-Zugriff zu den firmeninternen Netzwerken von Cloudflare und Okta über deren Verkada-Kameras.[10][13]

Kottmanns Konto wurde bei Twitter gesperrt aufgrund des Postens von mehrere Bildschirmfotos von Sicherheitskameras. Twitter meinte, das Teilen von gehackten Informationen würde gegen ihre Geschäftsbedingungen verstossen. Kurz nach dem Einbruch beim Verkada informierte Kottmann einen Journalisten und Verkada unterband den Zugriff auf das Firmen-Netzwerk.[14] Während dem Angriff twitterte Kottmann «Was wäre, wenn wir den Überwachungskapitalismus in zwei Tagen beenden könnten?»[15] Die Hackergruppe meinte zu Bloomberg, der Hack «zeige auf, wie allgegenwärtig wir alle überwacht würden und wie wenig Aufmerksamkeit dabei der Sicherheit der Daten gewidmet würde, während es allen nur um den Profit ginge».[10]

Anklage[Bearbeiten | Quelltext bearbeiten]

Im März 2021 wurde Kottmann durch ein Geschworenengericht wegen kriminellen Tätigkeiten angeklagt, die Kottmann zwischen 2019 und 2021 begangen haben soll.[16][17] Es wurde behauptet, Kottmann hätte Dutzende Unternehmen gehackt,[18] Informationen und Quellcode von mehreren 100 Institutionen veröffentlicht und Merchandising-Artikel mit Bezug auf das Hacking verkauft, etwa T-Shirts. Die Anklage lautet auf Computer-Betrug und -Missbrauch, Überweisungsbetrug und Identitätsdiebstahl. Die Anklage und eine Razzia der Schweizer Polizei in Kottmanns Zuhause auf Verlangen der amerikanischen Behörden geschahen kurz nachdem Kottmann verkündet hatte, in den Angriff auf Verkada involviert gewesen zu sein.[14][19][20]

Seit dem 19. März wird Kottmann durch den Anwalt Marcel Bosonnet vertreten, welcher zuvor schon Edward Snowden vertreten hatte.[18][21] Kottmann beteuerte die Überzeugung, nicht an die Vereinigten Staaten ausgeliefert zu werden. Der Schweizer Anwalt Roman Kost stellte fest, dass Schweizer Bürger nicht ohne ihre Zustimmung ausgeliefert werden könnten, Kottmann aber sehr wohl in der Schweiz angeklagt und verurteilt werden könnte, wenn genügend Anhaltspunkte und Beweise vorhanden wären.[22]

Die kanadische Hacking-Forscherin Gabriella Coleman sagte, sie erwarte, dass Kottmann durch die Anklage mehr Unterstützung in der Hacker-Gemeinschaft erhalten werde, da die amerikanische Regierung eine überaus aggressive Haltung bei der Verfolgung von Hackern an den Tag lege, wenn diese linke oder antiautoritäre Ideale verfolgten und dass die Hacker-Gemeinschaft daran denken würde.[22]

Persönliches[Bearbeiten | Quelltext bearbeiten]

Kottmann bezeichnet ihr Geschlecht als nichtbinär (weder weiblich noch männlich);[23] als Pronomen nutzt sie neben „sie“ auch die englischen geschlechtsneutralen Formen it/its („es/ihn“), fae/faer sowie das singulare they/them.[24]

Kottmann verwendet die Pseudonyme deletescape und tillie crimew. Sie lebt in Luzern,[17] wo sie im Jahr 2020 erfolglos für den Luzerner Grossen Stadtrat kandidierte.[23] Als Motivation für ihre Hacking-Aktivitäten gibt sie Antikapitalismus, Anarchismus und die Ablehnung der Idee des geistigen Eigentums an.[25][26] Kottmann erklärt: «Sich um buchstäblich nichts anderes zu kümmern als um Profit, resultiert definitiv nicht in mehr Sicherheit».[7]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Ionut Ilascu: Source code from dozens of companies leaked online (en) In: Bleeping Computer. 27. Juli 2020. Abgerufen am 20. März 2021.
  2. a b Dan Goodin: More than 20GB of Intel source code and proprietary data dumped online (en-us) In: Ars Technica. 6. August 2020. Abgerufen am 20. März 2021.
  3. M Moon: 20GB of Intel internal documents were leaked online (en-US) In: Engadget. 7. August 2020. Abgerufen am 20. März 2021.
  4. Catalin Cimpanu: Intel investigating breach after 20GB of internal documents leak online (en) In: ZDNet. 6. August 2020. Abgerufen am 20. März 2021.
  5. Catalin Cimpanu: Nissan source code leaked online after Git repo misconfiguration (en) In: ZDNet. 6. Januar 2021. Abgerufen am 21. März 2021.
  6. Tim Starks: Nissan investigated source code exposure, says it plugged leak (en) In: CyberScoop. 6. Januar 2021. Abgerufen am 21. März 2021.
  7. a b Thomas Brewster: Swiss Verkada Camera Hacker Says Attacks Were „Easy, Fun Anarchism“ – U.S. Files Charges Over Data Theft. In: Forbes. 19. März 2021, abgerufen am 6. Dezember 2021 (englisch); Zitat: “Caring about literally nothing but profit definitely doesn’t result in security.”
  8. Frank Bajak, Matt O’Brien: Security camera hack exposes hospitals, workplaces, schools. In: The Seattle Times, 10. März 2021. Abgerufen am 19. März 2021. 
  9. Hack of video security company Verkada exposes footage from 150,000 connected cameras (en-US) In: CBS News. Abgerufen am 21. März 2021.
  10. a b c William Turton: Hackers Breach Thousands of Security Cameras, Exposing Tesla, Jails, Hospitals (en). In: Bloomberg News, 9. März 2021. Abgerufen am 19. März 2021. 
  11. Dan Goodin: Hackers access security cameras inside Cloudflare, jails, and hospitals (en-us) In: Ars Technica. 10. März 2021. Abgerufen am 19. März 2021.
  12. Chaim Gartenberg: Security startup Verkada hack exposes 150,000 security cameras in Tesla factories, jails, and more (en) In: The Verge. 9. März 2021. Abgerufen am 19. März 2021.
  13. John Graham-Cumming: About the March 8 & 9, 2021 Verkada camera hack (en) In: The Cloudflare Blog. 10. März 2021. Abgerufen am 22. März 2021.
  14. a b William Turton, Corinne Gretler: Swiss Police Raid Apartment of Verkada Hacker, Seize Devices (en). In: Bloomberg News, 12. März 2021. Abgerufen am 19. März 2021. 
  15. Jason Murdock: Twitter suspends Verkada hacker Tillie Kottman's account after Tesla security footage leak (en) In: Newsweek. 10. März 2021. Abgerufen am 21. März 2021.
  16. Matt O'Brien: U.S. charges Swiss 'hacktivist' for data theft and leaks. In: Associated Press. 19. März 2021. Abgerufen am 19. März 2021.
  17. a b Swiss Hacker indicted for conspiracy, wire fraud, and aggravated identity theft (en) In: Justice.gov. 18. März 2021. Abgerufen am 19. März 2021.
  18. a b Joe Schneider, William Turton: Verkada Hacker Charged With Wire Fraud, Identity Theft in U.S. (en). In: Bloomberg News, 19. März 2021. Abgerufen am 20. März 2021. 
  19. Maggie Miller: Justice Department indicts hacker connected to massive surveillance camera breach (en) In: TheHill.com. 19. März 2021. Abgerufen am 20. März 2021.
  20. Sean Hollister: A hacker who exposed Verkada's surveillance camera snafu has been raided (en) In: The Verge. 12. März 2021. Abgerufen am 19. März 2021.
  21. Dell Cameron: U.S. Indicts 21-Year-Old Accused of Leaking Stolen Data of Disney, Nintendo, and More (en-us) In: Gizmodo. Abgerufen am 20. März 2021.
  22. a b William Turton: Swiss Hacker’s Indictment Spotlights Ethics of Activist Attacks (en). In: Bloomberg News, 19. März 2021. Abgerufen am 19. April 2021. 
  23. a b Dominik Balmer u. a.: Hackerin blamiert Schweizer Konzerne. In: Pressreader.com. 31. März 2021, abgerufen am 16. Oktober 2021; Zitat: „Kottmann bezeichnet ihr Geschlecht als nicht binär – also weder ausschliesslich dem weiblichen noch dem männlichen Geschlecht zugehörig. Sie ist Mitglied der Juso Luzern. Im letzten Jahr hatte sie erfolglos für den Luzerner Grossen Stadtrat kandidiert.“
  24. maia tillie crimew (Tillie Kottmann); @deletescape@notbird.site. In: notbird.site. 20. März 2021, abgerufen am 16. Oktober (englisch); Zitat: “confirming personal information for wikipedia: i hereby confirm that i was born on august 7th 1999 and that my pronouns are it/its fae/faer she/her they/them.”
  25. James Vincent: 'Anti-capitalist' Verkada hacker charged by US government with attacks on dozens of companies. In: The Verge. 19. März 2021. Abgerufen am 19. März 2021.
  26. Joseph Menn: New wave of ‘hacktivism’ adds twist to cybersecurity woes (en). In: Reuters, 26. März 2021. Abgerufen am 27. März 2021.