Der Fahrdienstleister Uber erlitt einen Cyberangriff bei dem ein mutmaßlich erst 18-jähriger Hacker Schwachstellenberichte von HackerOne herunterlud und Screenshots der internen Systeme, des E-Mail-Dashboards und des Slack-Servers des Unternehmens teilte.
Die vom Hacker geteilten Screenshots zeigen scheinbar vollen Zugriff auf viele kritische IT-Systeme von Uber, einschließlich der Sicherheitssoftware und der Windows-Domäne des Unternehmens.
Uber-Angreifer hatte vollen Zugriff
Der Angreifer hat auch den Uber Slack-Server gehackt, den er verwendet hat um Nachrichten an Mitarbeiter zu senden, in denen es heißt, dass das Unternehmen gehackt wurde. Screenshots von Ubers Slack zeigen jedoch , dass diese Ankündigungen zunächst mit Memen und Witzen beantwortet wurden, da die Mitarbeiter nicht bemerkt hatten, dass ein tatsächlicher Cyberangriff stattfand.
Laut bleepingcomputer hat Uber den Angriff seitdem bestätigt und getwittert, dass sie mit den Strafverfolgungsbehörden in Kontakt stehen und zusätzliche Informationen veröffentlichen werden, sobald sie verfügbar sind. „Wir reagieren derzeit auf einen Cybersicherheitsvorfall. Wir stehen in Kontakt mit den Strafverfolgungsbehörden und werden hier weitere Updates veröffentlichen, sobald sie verfügbar sind“ , twitterte der Account von Uber Communications.
Keine offizielle Uber-Erklärung
Ian McShane, Vice President of Strategy bei Arctic Wolf, sagt zu dem Uber-Hack: „Zwar gibt es noch keine offizielle Erklärung, doch eine Person, die sich zum Cyberangriff bekennt, erklärt, dass der anfängliche Zugang durch Social Engineering erlangt wurde, indem ein ahnungsloser Uber-Mitarbeitender von ihm kontaktiert wurde, er sich als technischer Support ausgab und das Passwort zurücksetzte. Dann konnte der Angreifer eine Verbindung zum Unternehmens-VPN herstellen, um weiteren Zugriff auf das Uber-Netzwerk zu erhalten. Dabei scheint er auf Gold gestoßen zu sein, und zwar in Form von Admin-Anmeldedaten, die im Klartext auf einer Netzwerkfreigabe gespeichert waren.
Die Einstiegshürde für diesen Angriff stellte sich als ziemlich niedrig heraus. Die Attacke ähnelt jener, bei der sich Angreifer als MSFT-Mitarbeitende ausgaben und so Endnutzer dazu brachten, Keylogger oder Remote-Access-Tools zu installieren. Angesichts des Zugangs, den sie angeblich erlangt haben, bin ich überrascht, dass der Angreifer nicht versucht hat, Lösegeld zu erpressen. Es sieht so aus, als wäre nur aus „Spaß“ gehandelt worden.“
Zugriff auf Bug-Bounty-Programm?
Aktuell gibt es noch keine genau Aufklärung des Angriffs. Die verschiedesten Medien berichten, dass das Uber-Konto mit Multi-Faktor-Authentifizierung geschützt war. Der Angreifer nutze angeblich einen MFA-Fatigue-Angriff und gab vor, der IT-Support von Uber zu sein, um den Mitarbeiter davon zu überzeugen, die MFA-Anfrage anzunehmen. Laut New York Times soll der Hacker als Beute der Attacke Zugriff auf Uber-Datenbanken und Quellcode gehabt haben.
Am schlimmsten gilt die Vermutung, dass der Angreifer das Ticketsystem und somit die Schwachstellenberichte des Bug-Bounty-Programms kopiert haben soll. Wäre das wahr, müsste Uber jederzeit mit einem neuen Angriff rechnen und extrem schnell die gefundenen Lücken schließen. Denn der Angreifer kann diese Informationen im Darknet schnell zu Geld machen. Experten halten wohl schon Ausschau, ob entsprechende Angebote auftauchen.
Mehr bei bleepingcomputer.com