Uber wurde von einem Teenager gehackt – das wissen wir bisher

Veröffentlicht: 2022-09-19

UPDATE 16.09.2022 13:56 Uhr ET: Uber hat auf den Bericht der New York Times geantwortet. Das Unternehmen gibt an, dass es keine Beweise dafür hat, dass auf sensible Daten zugegriffen wurde und dass die Strafverfolgungsbehörden benachrichtigt wurden. Lesen Sie den Originalbericht unten.

Der Ridesharing-Riese Uber hat heute bestätigt, dass er gehackt wurde. Der Angreifer behauptet gegenüber der New York Times , in die internen Technik- und Kommunikationssysteme des Unternehmens eingedrungen zu sein.

Dieser Vorfall ist auf so vielen Ebenen seltsam. Während das Ausmaß des Eindringens unklar bleibt, ist das, was wir wissen, wirklich erstaunlich.

Anhand der wenigen Informationen, die wir haben, werden wir diesen Vorfall aufschlüsseln, die Reaktion von Uber analysieren und mögliche Konsequenzen für Uber-Fahrer untersuchen.

Der Angreifer

uber-App auf dem iPhone — Bild: Unsplash

Hier ist die gute Nachricht: Der Angreifer scheint nicht Teil einer gewinnorientierten kriminellen Bande oder einer staatlich geförderten Hacking-Gruppe zu sein.

Tatsächlich scheint der Hacker von Neugier und dem Wunsch motiviert zu sein, die digitalen Abwehrmechanismen des wertvollsten Taxiunternehmens der Welt zu durchbrechen.

Woher wissen wir das? Erstens war der Angreifer ziemlich offen über seine Beweggründe. Im Gespräch mit der New York Times behaupteten sie, ein 18-jähriger Cybersicherheits-Enthusiast zu sein.

Warum ist Uber in ihr Fadenkreuz geraten? Weil der Angreifer behauptete, es habe „schwache Sicherheit“.

Außerdem kündigten sie ihre Anwesenheit gegenüber Uber an. Nachdem sich der Hacker Zugang zu seinen internen Systemen verschafft hatte, veröffentlichte er eine Slack-Nachricht mit folgendem Inhalt: „Ich gebe bekannt, dass ich ein Hacker bin und Uber einen Datenverstoß erlitten hat.“

Echte böswillige Akteure neigen dazu, so lange wie möglich zu schweigen. Oder sie handeln entschlossen, um das Unternehmen lahmzulegen und ein hohes Lösegeld zu erpressen. Beides ist hier nicht passiert.

Die Slack-Nachricht forderte Uber auch auf, seinen Fahrern mehr zu zahlen, und listete mehrere interne Datenbanken auf. Als letzten Gnadenstoß postete der Angreifer laut The New York Times „ein eindeutiges Foto auf einer internen Informationsseite für Mitarbeiter“.

Der Angriff

Uber, was Sie wissen müssen, der Thread.

1) pic.twitter.com/CXU75bqrZU
– Kevin Beaumont (@GossiTheDog) 16. September 2022

Zum Zeitpunkt des Verfassens dieses Artikels muss Uber seine Obduktion des Sicherheitsvorfalls noch veröffentlichen. Das ist verständlich. Diese Geschichte ist sehr frisch.

Wir müssen uns hier zur Klarheit auf die eigenen Aussagen des Angreifers und die Berichterstattung von NYT verlassen. Laut der Zeitung nutzte der Angreifer einfache Social-Engineering-Taktiken.

Sie überredeten einen Mitarbeiter, sein Passwort herauszugeben, indem sie vorgaben, eine „Unternehmens-Informationstechnologie-Person“ zu sein.

Was danach geschah, bleibt im Dunkeln. Eine NYT -Quelle behauptete, der Angriff sei eine „totale Kompromittierung“ von Ubers Systemen gewesen.

Aber es gibt einen Unterschied zwischen einem Kompromiss und einem katastrophalen Verstoß. Wo ein Vorfall auf einem dieser Pole sitzt, hängt weitgehend von der Absicht ab.

Wenn der Angreifer riesige Mengen an Benutzerdaten exfiltrierte und verkaufte oder das Unternehmen als Lösegeld forderte, wie beim Uber-Hack 2017, fällt der Vorfall in die letztere Kategorie. Bisher gibt es dafür keine Beweise.

Das Fehlen eines finanziellen Motivs rechtfertigt nicht, was passiert ist. Aber es deutet darauf hin, dass dieser Hacker nur ein neugieriger Teenager mit einem geringen Verständnis für Cybersicherheitsgesetze ist.

Nach der Kompromittierung des Mitarbeiterkontos fand der Angreifer laut Sicherheitsexperte Marcus Hutchins ein Microsoft PowerShell-Skript mit fest codierten Administrator-Anmeldeinformationen.

Mit diesen Zugangsdaten könnte der Hacker andere Teile des IT-Apparats von Uber infiltrieren. Im Sicherheitsbereich wird dies als „laterale Bewegung“ bezeichnet.

Oder anders ausgedrückt: Der Angreifer erhöht schrittweise seinen Einfluss, indem er mehr Systeme kompromittiert, von denen jedes ein weiteres Puzzleteil darstellt.

Die Antwort

Wir reagieren derzeit auf einen Cybersicherheitsvorfall. Wir stehen in Kontakt mit den Strafverfolgungsbehörden und werden hier weitere Updates veröffentlichen, sobald sie verfügbar sind.
– Uber Comms (@Uber_Comms) 16. September 2022

Uber muss noch die Auswirkungen auf die Benutzer klären. Das Unternehmen muss noch eine formelle Ankündigung auf seiner Newsroom-Seite veröffentlichen, wie es normalerweise der Fall ist, wenn ein Unternehmen einen Verstoß erfährt.

In einem Tweet sagte Uber, es untersuche den Vorfall in Zusammenarbeit mit den Strafverfolgungsbehörden.

Da der Angreifer mit verschiedenen Nachrichtenagenturen gesprochen und sich nicht gescheut hat, seine Präsenz im Uber-Netzwerk zu verbergen, ist es sehr wahrscheinlich, dass er in den kommenden Wochen und Monaten durch ein frühmorgendliches Klopfen an der Tür geweckt wird.

Update: Ein Bedrohungsakteur behauptet, Uber vollständig kompromittiert zu haben – er hat Screenshots seiner AWS-Instanz, des HackerOne-Administrationspanels und mehr veröffentlicht.

Sie verhöhnen und verspotten @Uber offen. pic.twitter.com/Q3PzzBLsQY

– vx-underground (@vxunderground) 16. September 2022

Opsec (oder „Betriebssicherheit“, der Prozess, Ihre Aktionen zu verbergen) ist wahrscheinlich nicht ihre größte Priorität.

Was bedeutet das für Uber-Kunden?

Ehrlich gesagt wissen wir es nicht. Es gibt keine endgültigen Informationen darüber, worauf der Angreifer zugegriffen hat, ob er Daten exfiltriert hat oder Ubers Richtlinien in Bezug auf Kundeninformationen.

Daher empfehlen wir Ihnen die folgenden Schritte:

Ändere vorsichtshalber dein Uber-Passwort in ein starkes und einzigartiges Passwort. Idealerweise sollte Uber Passwörter mit Hashing und Salting schützen (wie hier erklärt). Wenn dies nicht oder nicht in ausreichendem Maße der Fall ist, wird Ihr Konto durch Ändern Ihres Passworts geschützt.
Zwei-Faktor-Authentifizierung (MFA oder 2FA) einrichten
Löschen Sie Ihre Debitkartendaten. Wenn du Uber-Fahrten mit einer Kreditkarte bezahlst, kannst du eine Rückbuchung vornehmen, wenn ein Angreifer dein Konto kapert.

KnowTechie hat einen Uber-Vertreter um einen Kommentar gebeten. Wenn wir eine Rückmeldung erhalten, werden wir diesen Beitrag aktualisieren.

UPDATE 20.09.2022 08:30 Uhr ET: Uber hat einen Beitrag in seinem Unternehmensblog veröffentlicht, der Updates darüber enthält, was genau passiert ist und wie sie mit der Reaktion auf den jüngsten Sicherheitsvorfall umgehen.

Das Unternehmen beschreibt die Schwere des Verstoßes, wie es dazu kam, wer dafür verantwortlich war und was es tut, um das Problem zu mindern. Die Untersuchung dauert noch an, und das Unternehmen arbeitet nun mit Firmen für digitale Forensik zusammen, um das Problem zu lösen.

Haben Sie irgendwelche Gedanken dazu? Übertragen Sie die Diskussion auf unser Twitter oder Facebook.

Empfehlungen der Redaktion:

Neuer TikTok-Hack legt Berichten zufolge Quellcode und Benutzerdaten offen
LastPass meldet neue Datenschutzverletzung, aber kein Grund zur Panik
Hacker portiert den legendären FPS Doom auf den John Deere Traktor
Ein neuer Exploit ermöglicht es Hackern, jeden Honda zu entsperren, der seit 2012 hergestellt wurde