Home » News » Cybersecurity » Kommentar: Uber mit einfachen Tricks gehackt

Kommentar: Uber mit einfachen Tricks gehackt

Große Unternehmen wie Uber sind wertvolle Ziele für Cyberangriffe, da sie über eine große Menge an sensiblen Kundendaten verfügen, die Hacker zu Geld machen können.

3 Min. Lesezeit
Foto: ©AdobeStock/Urupong

Der Angriff auf Uber ist ein weiteres Beispiel für einen relativ einfachen Angriff, der zu einem großen Vorfall mit enormem Imageschaden wurde. Andere Schäden lassen sich derzeit noch nicht beziffern. Der Angreifer verschaffte sich durch Social Engineering eines Mitarbeiters über ein VPN Zugang zum Netzwerk.

Große Unternehmen wie Uber sind wertvolle Ziele für Cyberangriffe, da sie über eine große Menge an sensiblen Kundendaten verfügen, die Hacker zu Geld machen können. „Obwohl es noch nicht bestätigt wurde, ist die Wahrscheinlichkeit groß, dass die Hacker Infomationen wie Kreditkartendaten und Gehaltsabrechnungen abgegriffen haben“, so Chris Vaughan, AVP of Technical Account Management, EMEA bei Tanium zu dem Vorfall. „Nach ersten Analysen sieht es so aus, als ob sowohl die Daten der Fahrer als auch die der Kunden kompromittiert worden sind. Nach dem Eindringen konnten die Angreifer in Skripten kodierte Passwörter finden und diese dann verwenden, um in verschiedene Teile des Netzwerks einzudringen. Dazu gehörte auch der Zugriff auf die Verwaltungs-Tools sowie auf mehrere Datenbanken. Dies wirft natürlich einige Fragen auf. Zum einen wurde ein einziges fest codiertes Kennwort für den Zugriff auf das PAM-System (Privileged Access Management) verwendet, das Zugang zu allen Bereichen der IT-Umgebung gewährt, die damit verbunden sind. Ein weiteres Problem ist, dass für das VPN offenbar keine Zwei-Faktor-Authentifizierung verwendet wurde, denn sonst hätten die Anmeldedaten allein keinen Zugang gewährt. Es kann besonders gefährlich sein, wenn Angreifer mit einem solchen gültigen Passwort in ein Netzwerk eindringen, da es dadurch schwierig ist, ihre Bewegungen von legitimen Benutzeraktivitäten zu unterscheiden.

Dies sollte als Erinnerung daran dienen, dass ein hohes Maß an Cyber-Hygiene dazu beitragen kann, dass solche einfacheren Angriffsmethoden nicht erfolgreich sind. Im Rahmen dieser Bemühungen müssen IT-Teams jederzeit wissen, wo sich ihre sensibelsten Daten befinden, um sie wirksam schützen zu können. Eine vollständige Transparenz des Unternehmensnetzwerks ist ebenfalls von entscheidender Bedeutung, um Geräte zu identifizieren, die möglicherweise kompromittiert wurden, und diese dann schnell zu reparieren.“

Dass auch Unternehmen mit gut aufgestellter Security nicht unantastbar sind, meint Ian McShane, Vice President of Strategy bei Arctic Wolf. Er kommentiert den Vorfall und seine Bedeutung so: „Uber, Anbieter einer Mobilitätsplattform, ist bekannt dafür, dass das Unternehmen über eine der besten Cybersicherheitsmaßnahmen der Branche verfügt. Die Tatsache, dass das Unternehmen kompromittiert wurde, zeigt, was wir alle wissen sollten: Niemand ist perfekt, und selbst die bestgeführten Organisationen können kompromittiert werden. Wichtig ist, wie schnell Unternehmen reagieren und das Problem entschärfen, was in diesem Fall offenbar gelungen ist.

Zwar gibt es noch keine offizielle Erklärung, doch eine Person, die sich zum Cyberangriff bekennt, erklärt, dass der anfängliche Zugang durch Social Engineering erlangt wurde. Er kontaktierte einen ahnungslosen Uber-Mitarbeitenden, gab sich dort als technischer Support aus und setzte das Passwort zurück. Dann konnte der Angreifer eine Verbindung zum Unternehmens-VPN herstellen, um weiteren Zugriff auf das Uber-Netzwerk zu erhalten. Dabei scheint er auf Gold gestoßen zu sein, und zwar in Form von Admin-Anmeldedaten, die im Klartext auf einer Netzwerkfreigabe gespeichert waren.

Die Einstiegshürde für diesen Angriff stellte sich als ziemlich niedrig heraus. Die Attacke ähnelt jener, bei der sich Angreifer als MSFT-Mitarbeitende ausgaben und so Endnutzer dazu brachten, Keylogger oder Remote-Access-Tools zu installieren. Angesichts des Zugangs, den der Angreifer angeblich erlangt hat, bin ich überrascht, dass er nicht versucht hat, Lösegeld zu erpressen. Es sieht so aus, als wäre nur aus ´Spaß´ gehandelt worden.

Angriffe, die sich Insider-Bedrohungen und kompromittierte Anmeldeinformationen zunutze machen, nehmen weiter zu – um 47 Prozent, wie es im 2022 Ponemon Institute Report heißt. Das beweist einmal mehr, dass das schwächste Glied in der Sicherheitsverteidigung oft der Mensch ist. Daher ist es von entscheidender Bedeutung, dass Unternehmen dieses Risiko durch regelmäßige Security-Awareness-Schulungen, Monitoring- und Detection-and-Response-Maßnahmen sowie weitere rund um die Uhr durchgeführte Security Operations in den Griff bekommen, um das Risiko zu verringern und das Unternehmen zu schützen.“

 

Foto: Tanium

Chris Vaughan, AVP of Technical Account Management, EMEA bei Tanium

Foto: Arctic Wolf

Ian McShane, Vice President of Strategy bei Arctic Wolf

Andere interessante News

Große Schäden im Homeoffice durch Phishing-Mails

In jedem fünften Fall, bei dem Mitarbeitende im Homeoffice einer Phishing-Mail zum Opfer gefallen sind, wurden Zugangsdaten oder persönliche Daten ausgeleitet. Im Büro waren dies nur 14,6 Prozent.

Ein Drittel aller weltweiten Anmeldeversuche illegal

Okta belegt in seinem aktuellen State of Secure Identity Report, dass gut ein Drittel der Anmeldeversuche auf Kundenkonten mit erbeuteten Login-Daten erfolgt. Beim Credential Stuffing nutzen Angreifer die Angewohnheit mancher Nutzer aus, ein einziges Kennwort für verschiedene Anmeldungen zu verwenden.

Cyber Threat Report für das 2. Quartal 2022

Infoblox veröffentlicht seinen aktuellen Quarterly Cyber Threat Report. Ein besonderer Fokus liegt dabei auf der Verwendung von IPv6 und die Risikominderung durch Zero Trust und DNS-Sicherheit. Die Umstellung auf IPv6 in vielen großen US-Behörden hat dem Thema zusätzliche Schubkraft verliehen. Cyber-Resilienz und wirtschaftliche Effizienz sollen auf diese Weise erhöht werden.