Fahrdienstleister und Essenslieferant Uber musst schon wieder einen Datenverlust zugeben, auch wenn die Daten von einem Drittanbieter stammen sollen. Der Hacker „UberLeaks“ behautet die Daten bei Uber und Uber Eats gestohlen zu haben.
Uber hat laut dem Portal bleepingcomputer eine neue Datenschutzverletzung erlitten. Im Netz sollen Daten und E-Mail-Adressen von Mitarbeitern, Unternehmensberichte und IT-Asset-Informationen aufgetaucht sein. Die Daten sollen laut Uber aber bei einem Drittanbieter gestohlen worden sein.
Hacker „UberLeaks“ kündigt Daten an
Der Account „UberLeaks“ hat in einem Hacking-Forum angekündigt, das für die Veröffentlichung von Datenschutzverletzungen bekannt ist, Daten von Uber preiszugeben. Er behauptet dort auch, dass er sie von Uber und Uber Eats gestohlen habe. Die durchgesickerten Daten enthalten laut bleepingcomputer zahlreiche Archive, die behaupten, Quellcode zu sein, der mit mobilen Geräteverwaltungsplattformen (MDM) verbunden ist, die von Uber und Uber Eats sowie Diensten von Drittanbietern verwendet werden.
Erst im September hat Uber ganz offiziell nach einem erfolgreichen Hack einige Daten verloren. In den neuen Daten sollen sogar Mitarbeiterdaten von 77.000 Angestellten sein. Auch wenn Uber behauptet die Daten stammen von einer anderen Quelle: Sicherheitsforscher, die das Leck analysiert haben, teilten bleepingcomputer mit, dass die durchgesickerten Daten mit internen Unternehmensinformationen von Uber zusammenhängen und keinen seiner Kunden enthalten.
Was Experten dazu sagen
Ian McShane, Vice President of Strategy bei Arctic Wolf, teilt mit seine Meinung zu Security Breaches und Supply-Chain-Cyberangriffen, insbesondere wegen Uber: „In den letzten Jahren haben wir gesehen, dass Unternehmen immer öfter Gefahr laufen, entweder das „Ziel“ von Cyberangriffen oder „Einfallstor“ für Hackerattacken auf weitere Organisationen in der Lieferkette zu werden. Sollte es sich bei dem erneuten Uber-Cybervorfall tatsächlich um einen Mobile Device Management (MDM)-Verstoß bei Drittunternehmen handeln und nicht „nur“ um einen Diebstahl von Login-Daten, ist davon auszugehen, dass weitere Unternehmen bald herausfinden werden, dass ihre Daten ohne eigenes Verschulden in die falschen Hände geraten sind. Und es würde mich nicht überraschen, wenn wir im neuen Jahr weitere Vorfälle dieser Art erlebten.“
„Auch wenn die Bewältigung solcher Vorfälle Unternehmen überfordern kann, ist das aktuelle Uber-Ereignis eine Mahnung: Unternehmen müssen umfassende Kenntnis über die eigene Lieferkette haben. Es ist entscheidend, Überschneidungen möglichst zu minimieren und das Cyberrisiko zu verringern, indem Unternehmen ihre Lieferanten und die mit diesen verbundenen Organisationen einer eingehenden Prüfung unterziehen. Die Risikobewertung von Anbietern ist ein wichtiger Aspekt der Sicherheitsmaßnahmen eines jeden Unternehmens und muss 2023 Priorität haben.“