[English]Der US-Fahrdienstleister Uber ist wohl Opfer eines Hacks geworden, wobei ein 18 Jähriger in das System das Anbieters eingedrungen ist. Die Uber-Angestellten hielten das Ganze zunächst für einen Scherz. Der Hacker gibt an, "zum Spaß" in das Uber-System eingedrungen zu sein, hat dann aber wohl auf einer Freigabe ein PowerShell-Script gefunden, in dem Administrator-Zugangsdaten enthalten waren. Und nun ist der Hacker wohl Administrator der Uber-IT-Systeme.
Anzeige
Es ist nur ein kurzer Tweet von Uber, in dem auf den Sachverhalt hingewiesen wird. Dort heißt es lediglich, dass man "gerade auf einen Vorfall im Bereich der Cybersicherheit reagiere und in Kontakt mit den Strafverfolgungsbehörden stehe.
Das Wallstreet Journal (WSJ) berichtet hier, dass ein Hacker mit dem Telegram-Handle Tea Pot am Donnerstag (auch) die Kontrolle über das Uber-Konto bei HackerOne erlangt habe. HackerOne vermittelt Bug-Bounty-Programme zwischen Firmen und Sicherheitsforschern. Über das Uber-Konto postete der Hacker dann Screenshots, die belegen sollen, dass diese Person über einen weitreichenden Zugang zu einer Reihe von administrativen Konten bei Uber verfügt. Zu den Uber IT-Systemen, auf die der Hacker als Administrator zugreifen kann, gehören Amazon Web Services und Google Cloud-Instanzen, sowie VMware-Systeme. Das WSJ zitiert Robert Graham, ein Berater für Cybersicherheit: Wenn die Behauptungen des Hackers wahr sind, würde der Vorfall eine weitreichende Kompromittierung für das Unternehmen darstellen.
Zugriff per Social Engineering
Gegenüber Sam Curry, einem Sicherheitsingenieur bei Yuga Labs, die stecken hinter Bored Ape Yacht Club, gab der Hacker Tea Pot an, dass man einen Uber-Mitarbeiter dazu gebracht habe, Zugang zum virtuellen privaten Netzwerk von Uber zu gewähren. Dem Uber-Mitarbeiter sei vorgespiegelt worden, dass man Mitglied der Firmen-IT sei, heißt es hier. Curry hatte Einsicht in eine Reihe an Unterlagen der oder des Hacker(s). Im internen IT-Netzwerk von Uber stieß der Hacker wohl auf das PowerShell-Script mit den Administrator-Zugangsdaten. Das geht aus einem von The Verge verlinkten Tweet hervor, der eine Telegram-Sitzung zeigt.
Anzeige
Das PS-Script wies den Nutzernamen und das Passwort eines Administrators bei Thycotic auf, eine Privileged Access Management-Lösung (PAM). Ab da konnte sich der Angreifer die Zugangsdaten für weitere Systeme über das PAM-Konto dieses Administrators verschaffen und hatte sozusagen Zugriff auf die Kronjuwelen – vorausgesetzt, das stimmt so alles. The Verge berichtet hier, dass der Hacker sich auf dem internen Slack-System von Uber mit einem Post vorstellte.
Ich gebe bekannt, dass ich ein Hacker bin und Uber eine Datenverletzung erlitten hat.
Der mutmaßliche Hacker (es könnte auch eine Gruppe an Personen sein) listete dann vertrauliche Unternehmensdaten auf, auf die er angeblich zugegriffen habe, und postete einen Hashtag, der besagt, dass Uber seine Fahrer zu schlecht bezahlt. Die Uber-Angestellten hielten dies für einen Scherz und antworteten mit Smileys wie Popcorn oder Sirenen.
Ergänzung: Inzwischen hat Uber einige interne Systeme abgeschaltet, während der Vorfall noch untersucht wird.
Ergänzung 2: Uber behauptet, laut diesem Artikel, dass es keine Anzeichen gebe, dass sensitive private Daten von Nutzern abgezogen wurden.
Erster Hack bereits 2016
Das WSJ erwähnt, dass Uber bereits 2016 durch eine Datenpanne betroffen war, bei der auf etwa 57 Millionen Datensätze durch Unbefugte zugegriffen wurde. Datei wurden die Namen, E-Mails und Telefonnummern von Millionen von Uber-Fahrern sowie auf die Daten von etwa 600.000 Führerscheinen zugegriffen. Uber rückte erst ein Jahr später mit diesem Vorfall heraus und gab die Datenpanne bekannt (siehe Uber-Datenleak: Millionen Nutzerdaten gestohlen). Seinerzeit habe man den Hackern 100.000 US-Dollar gezahlt.
Gerade hat ein Prozess gegen Joseph Sullivan, ein ehemalige Uber-Manager, in San Francisco begonnen. Sullivan ist wegen seiner Rolle bei der Bezahlung der damaligen Hacker angeklagt. Auch damals hieß es, die Hacker hätten eine Sicherheitslücke in den Uber-Systemen entdeckt.
Ähnliche Artikel:
Uber-Datenleak: Millionen Nutzerdaten gestohlen
Uber-Files: Schmutzige Lobby-Kampagne in Europa
Ex-Uber Manager Mark MacGann ist der Whistle-Blower
Outlook/Word hängen bei Uber-Rechnungen und anderen Mails mit Tabellen
Anzeige
"Das PS-Script wies den Nutzernamen und das Passwort eines Administrators bei Thycotic auf,…"
Vorausgesetzt, das stimmt alles: Blödheit? Unwissenheit? Faulheit? Vielleicht eine Mischung aus allem …
Es gibt eine einfache Erkenntnis – stammt aus dem Wilden Westen: Es braucht nur einer den Abzug zu betätigen, damit es knallt. Die Botschaft des Artikels an die geneigte Leserschaft, die als Admin unterwegs sind: Prüft doppelt und dreifach, dass keines dieser Risiken bei euch lauert …