Home » News » Cybersecurity » Kommentar: Uber mit einfachen Tricks gehackt

Kommentar: Uber mit einfachen Tricks gehackt

Große Unternehmen wie Uber sind wertvolle Ziele für Cyberangriffe, da sie über eine große Menge an sensiblen Kundendaten verfügen, die Hacker zu Geld machen können.

3 Min. Lesezeit
Foto: ©AdobeStock/Urupong

Der Angriff auf Uber ist ein weiteres Beispiel für einen relativ einfachen Angriff, der zu einem großen Vorfall mit enormem Imageschaden wurde. Andere Schäden lassen sich derzeit noch nicht beziffern. Der Angreifer verschaffte sich durch Social Engineering eines Mitarbeiters über ein VPN Zugang zum Netzwerk.

Große Unternehmen wie Uber sind wertvolle Ziele für Cyberangriffe, da sie über eine große Menge an sensiblen Kundendaten verfügen, die Hacker zu Geld machen können. „Obwohl es noch nicht bestätigt wurde, ist die Wahrscheinlichkeit groß, dass die Hacker Infomationen wie Kreditkartendaten und Gehaltsabrechnungen abgegriffen haben“, so Chris Vaughan, AVP of Technical Account Management, EMEA bei Tanium zu dem Vorfall. „Nach ersten Analysen sieht es so aus, als ob sowohl die Daten der Fahrer als auch die der Kunden kompromittiert worden sind. Nach dem Eindringen konnten die Angreifer in Skripten kodierte Passwörter finden und diese dann verwenden, um in verschiedene Teile des Netzwerks einzudringen. Dazu gehörte auch der Zugriff auf die Verwaltungs-Tools sowie auf mehrere Datenbanken. Dies wirft natürlich einige Fragen auf. Zum einen wurde ein einziges fest codiertes Kennwort für den Zugriff auf das PAM-System (Privileged Access Management) verwendet, das Zugang zu allen Bereichen der IT-Umgebung gewährt, die damit verbunden sind. Ein weiteres Problem ist, dass für das VPN offenbar keine Zwei-Faktor-Authentifizierung verwendet wurde, denn sonst hätten die Anmeldedaten allein keinen Zugang gewährt. Es kann besonders gefährlich sein, wenn Angreifer mit einem solchen gültigen Passwort in ein Netzwerk eindringen, da es dadurch schwierig ist, ihre Bewegungen von legitimen Benutzeraktivitäten zu unterscheiden.

Dies sollte als Erinnerung daran dienen, dass ein hohes Maß an Cyber-Hygiene dazu beitragen kann, dass solche einfacheren Angriffsmethoden nicht erfolgreich sind. Im Rahmen dieser Bemühungen müssen IT-Teams jederzeit wissen, wo sich ihre sensibelsten Daten befinden, um sie wirksam schützen zu können. Eine vollständige Transparenz des Unternehmensnetzwerks ist ebenfalls von entscheidender Bedeutung, um Geräte zu identifizieren, die möglicherweise kompromittiert wurden, und diese dann schnell zu reparieren.“

Dass auch Unternehmen mit gut aufgestellter Security nicht unantastbar sind, meint Ian McShane, Vice President of Strategy bei Arctic Wolf. Er kommentiert den Vorfall und seine Bedeutung so: „Uber, Anbieter einer Mobilitätsplattform, ist bekannt dafür, dass das Unternehmen über eine der besten Cybersicherheitsmaßnahmen der Branche verfügt. Die Tatsache, dass das Unternehmen kompromittiert wurde, zeigt, was wir alle wissen sollten: Niemand ist perfekt, und selbst die bestgeführten Organisationen können kompromittiert werden. Wichtig ist, wie schnell Unternehmen reagieren und das Problem entschärfen, was in diesem Fall offenbar gelungen ist.

Zwar gibt es noch keine offizielle Erklärung, doch eine Person, die sich zum Cyberangriff bekennt, erklärt, dass der anfängliche Zugang durch Social Engineering erlangt wurde. Er kontaktierte einen ahnungslosen Uber-Mitarbeitenden, gab sich dort als technischer Support aus und setzte das Passwort zurück. Dann konnte der Angreifer eine Verbindung zum Unternehmens-VPN herstellen, um weiteren Zugriff auf das Uber-Netzwerk zu erhalten. Dabei scheint er auf Gold gestoßen zu sein, und zwar in Form von Admin-Anmeldedaten, die im Klartext auf einer Netzwerkfreigabe gespeichert waren.

Die Einstiegshürde für diesen Angriff stellte sich als ziemlich niedrig heraus. Die Attacke ähnelt jener, bei der sich Angreifer als MSFT-Mitarbeitende ausgaben und so Endnutzer dazu brachten, Keylogger oder Remote-Access-Tools zu installieren. Angesichts des Zugangs, den der Angreifer angeblich erlangt hat, bin ich überrascht, dass er nicht versucht hat, Lösegeld zu erpressen. Es sieht so aus, als wäre nur aus ´Spaß´ gehandelt worden.

Angriffe, die sich Insider-Bedrohungen und kompromittierte Anmeldeinformationen zunutze machen, nehmen weiter zu – um 47 Prozent, wie es im 2022 Ponemon Institute Report heißt. Das beweist einmal mehr, dass das schwächste Glied in der Sicherheitsverteidigung oft der Mensch ist. Daher ist es von entscheidender Bedeutung, dass Unternehmen dieses Risiko durch regelmäßige Security-Awareness-Schulungen, Monitoring- und Detection-and-Response-Maßnahmen sowie weitere rund um die Uhr durchgeführte Security Operations in den Griff bekommen, um das Risiko zu verringern und das Unternehmen zu schützen.“

 

Foto: Tanium

Chris Vaughan, AVP of Technical Account Management, EMEA bei Tanium

Foto: Arctic Wolf

Ian McShane, Vice President of Strategy bei Arctic Wolf

Andere interessante News

Mann vor Laptop macht einen erfolgreichen Check

Wie KMUs ihre IT-Sicherheit checken können

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Partner haben den CyberRisikoCheck entwickelt, um kleine und mittlere Unternehmen (KMU) bei der Steigerung ihrer Cyberresilienz zu unterstützen. Über 60 IT-Dienstleister wurden erstmals für die Anwendung dieses Verfahrens geschult.

Security Awareness Schulung

Security-Awareness-Schulungen nur Mumpitz?

Eine aufschlussreiche Umfrage enthüllt alarmierende Schwachstellen in den IT-Sicherheitsstrategien deutscher Unternehmen. Erstaunlicherweise betrachten fast die Hälfte der Geschäftsführungen Security-Awareness-Schulungen als überflüssig.

IoT - Internet of Things Security

Was für den Schutz vernetzter IoT-Geräte nötig ist

Seit dem ersten netzwerkverbundenen Verkaufsautomaten im Jahr 1982 hat sich in der Entwicklung von IoT-Geräten viel verändert. Die Verbindung von Geräten mit dem Internet hat zu großen Innovationen in verschiedenen Bereichen geführt. Allerdings bringen diese Technologien auch erhebliche Risiken mit sich.