Bain gehackt: 18 Minuten genügten

Nach McKinsey und BCG entlarvt ein Cybersecurity-Spezialist nun auch beim dritten großen Strategieberater gravierende Sicherheitsmängel.

Passwort lag offen im Netz

Ein einzelner Sicherheitsforscher blamiert erneut die Beratungsbranche. Paul Price, Gründer des auf automatisierte Schwachstellenanalysen spezialisierten Unternehmens CodeWall, hatte zuvor bereits bei McKinsey und der Boston Consulting Group digitale Einfallstore entdeckt. Nun traf es Bain & Company. Sein autonom agierendes Angriffsprogramm verschaffte sich in weniger als zwanzig Minuten Zutritt zur internen Analyseplattform Pyxis. Der Clou: Die Anmeldedaten lagen ungeschützt im öffentlich abrufbaren Quellcode.

Zugriff auf vertrauliche KI-Dialoge

Pyxis kommt im Private-Equity-Geschäft von Bain zum Einsatz, wenn Beteiligungskandidaten durchleuchtet oder Investitionsentscheidungen vorbereitet werden. Nach Angaben von CodeWall hätten Eindringlinge rund 10.000 Unterhaltungen mit dem eingebetteten KI-Assistenten mitlesen können. Teilweise stammten die Anfragen offenbar von Klientenmitarbeitern, darunter Lebensmittelhersteller, die Wettbewerbsanalysen abfragten. Obendrein fanden sich E-Mail-Adressen von Bain-Beschäftigten sowie Sicherheitstoken, mit denen sich Angreifer hätten tarnen oder eigenmächtig neue Nutzerkonten hätten einrichten können.

Bain relativiert den Vorfall

Nach der Meldung durch CodeWall habe man die Schwachstelle sofort beseitigt, erklärte das Beratungshaus. Zugleich wies Bain die Darstellung zurück: Pyxis aggregiere lediglich externe Datenquellen, enthalte keinerlei firmeninterne Informationen und sei vollständig vom Kernsystem für Mandantenarbeit abgekoppelt. Price bestätigte immerhin, dass sämtliche übrigen IT-Systeme von Bain seinen Angriffsversuchen standhielten. Sein Unternehmen teste ausschließlich Firmen, die ethisch motivierte Hacker explizit zur Überprüfung einladen.