Uber-Mitarbeiter entdeckten am Donnerstag, dass jemand auf große Teile ihres internen Netzwerks zugegriffen hatte und dies im Slack-Kanal des Unternehmens ankündigte. Der Eindringling, der Screenshots, die den Einbruch dokumentieren, an die New York Times und Sicherheitsforscher schickte, behauptete, 18 Jahre alt zu sein, und war ungewöhnlich offen darüber, wie es zu dem Einbruch kam und wie weit er reichte, so die Nachrichtenagentur, die die Geschichte veröffentlichte.
Es dauerte nicht lange, bis unabhängige Forscher, darunter Bill Demirkapi, die Berichterstattung der New York Times bestätigten und zu dem Schluss kamen, dass sich der Eindringling wahrscheinlich zunächst Zugang verschaffte, indem er einen Uber-Mitarbeiter über WhatsApp kontaktierte.
Nachdem der Hacker erfolgreich das Passwort des Mitarbeiters erlangt hatte, brachte er ihn dazu, eine Push-Benachrichtigung für die Multifaktor-Authentifizierung zu genehmigen. Der Eindringling verschaffte sich dann administrative Zugangsdaten, die Zugriff auf einige der wichtigsten Netzwerkressourcen von Uber ermöglichten. Uber hat daraufhin Teile seines internen Netzwerks abgeschaltet, während das Unternehmen das Ausmaß des Einbruchs untersucht.
Es ist noch nicht klar, auf welche Daten der Hacker genau Zugriff hatte oder welche anderen Aktionen er durchgeführt hat. Uber speichert eine schwindelerregende Vielzahl von Daten über seine Nutzer, sodass es möglich ist, dass private Adressen und das stündliche Kommen und Gehen von Hunderten von Millionen von Menschen zugänglich waren oder darauf zugegriffen wurde. Aber nicht nur die Nutzer, sondern auch über die Fahrer, welche per GPS Tracking nachverfolgt werden, um den schnell einen Fahrer mit einem Kunden in Verbindung bringen zu können.
Das ist alles, was bisher bekannt ist.
Inhaltsverzeichnis
Wie ist der Hacker eingedrungen?
Laut der NYT, dem oben verlinkten Tweet-Thread von Demirkapi und anderen Forschern hat der Hacker einen Uber-Mitarbeiter sozial manipuliert, nachdem er dessen WhatsApp-Nummer herausgefunden hatte. In Direktnachrichten wies der Eindringling den Mitarbeiter an, sich bei einer gefälschten Uber-Website anzumelden, die die eingegebenen Anmeldedaten in Echtzeit abfing und sie für die Anmeldung bei der echten Uber-Website verwendete.
Uber verfügte über MFA (Multifaktor-Authentifizierung) in Form einer App, die den Mitarbeiter auffordert, bei der Anmeldung einen Knopf auf seinem Smartphone zu drücken. Um diesen Schutz zu umgehen, gab der Hacker die Anmeldedaten wiederholt auf der echten Website ein. Der Angestellte, offenbar verwirrt oder müde, drückte schließlich den Knopf. Damit war der Angreifer drin. Nach einigem Herumstöbern entdeckte der Angreifer Powershell-Skripte, die ein Administrator gespeichert hatte und die den Anmeldevorgang für verschiedene sensible Netzwerkenklaven automatisierten. Die Skripte enthielten die erforderlichen Anmeldedaten.
Was geschah dann?
Der Angreifer verschickte Berichten zufolge unternehmensweite Texte in den Slack-Kanälen von Uber, in denen er seine Heldentat ankündigte. „Ich gebe bekannt, dass ich ein Hacker bin und Uber eine Datenpanne erlitten hat“, hieß es in einer Nachricht, wie die NYT berichtet. Screenshots belegten, dass die Person Zugang zu Vermögenswerten hatte, darunter Ubers Amazon Web Services- und G Suite-Konten sowie Code-Repositories.
Es bleibt unklar, auf welche anderen Daten der Hacker Zugriff hatte und ob er sie kopiert oder mit der ganzen Welt geteilt hat. Uber aktualisierte am Freitag seine Informationsseite und teilte mit: „Wir haben keine Beweise dafür, dass der Vorfall den Zugang zu sensiblen Nutzerdaten (wie dem Fahrtenverlauf) beinhaltet.“
Was wissen wir über den Hacker?
Nicht viel. Die Person behauptet, 18 Jahre alt zu sein und beschwerte sich in den Slack-Kanälen von Uber darüber, dass die Uber-Fahrer unterbezahlt seien. Dies und die Tatsache, dass der Eindringling keine Schritte unternommen hat, um den Verstoß zu verbergen, lassen darauf schließen, dass der Verstoß wahrscheinlich nicht durch finanzielle Gewinne aus Ransomware, Erpressung oder Spionage motiviert ist. Die Identität der Person ist bislang unbekannt.
Was unternimmt Uber jetzt?
Das Unternehmen hat den Sicherheitsverstoß eingeräumt und führt eine Untersuchung durch. Hat sich ein 18-Jähriger wirklich Zugang zu den Kronjuwelen eines der sensibelsten Unternehmen der Welt verschafft? Wie kann das sein? Es ist noch zu früh, um das mit Sicherheit zu sagen, aber das Szenario scheint plausibel, ja sogar wahrscheinlich. Phishing-Angriffe sind nach wie vor eine der effektivsten Formen des Eindringens in Netzwerke. Warum sollte man sich mit teuren und komplexen Zero-Day-Exploits herumschlagen, wenn es viel einfachere Wege gibt, in das Netzwerk einzudringen?
Phisher, die in Twilio eingedrungen sind und Cloudflare ins Visier genommen haben, könnten auch Sie leicht erwischen. Hinzu kommt, dass Phishing-Angriffe in den letzten Monaten immer raffinierter geworden sind. Ein Beispiel dafür ist dieser Angriff, der kürzlich bei Twilio stattfand und viele weitere Unternehmen zum Ziel hatte. Die Phishing-Seite leitete die eingegebenen Benutzernamen und Passwörter automatisch über den Messaging-Dienst Telegram an die Angreifer weiter, die diese dann auf der echten Website eingaben. Wenn ein Benutzer ein von einer Authentifizierungs-App generiertes Einmal-Passwort eingab, trugen die Angreifer dieses einfach ebenfalls ein. Wenn ein Konto durch eine App wie Duo Security geschützt war, erhielten die Angreifer Zugang, sobald der Angestellte dies tat.