Bereits vor einigen Tagen gab es die Meldung, dass Uber Opfer eines großen Hacks wurde. Es wird sogar den Verdacht, dass die Angreifer eine Schwachstellenliste eines Bug Bounty-Programms erbeutet haben. Nun bestätigt Fahrdienstleister Uber, dass es sich beim Angreifer um die Lapsus$-Gruppe handelt.
Im ersten Bericht zum Uber-Hack war vieles noch unklar. Laut Fahrdienstleister Uber lassen sich die Vorgänge nun beschreiben und genau definieren, welcges Daten entwendet wurden. Folgendes ist laut Uber passiert: “Das Konto eines Uber EXT-Vertragspartners wurde von einem Angreifer mit Malware kompromittiert und die Zugangsdaten gestohlen. Es ist wahrscheinlich, dass der Angreifer das Uber-Firmenpasswort des Auftragnehmers im Dark Web gekauft hat. Der Angreifer versuchte daraufhin wiederholt, sich in das Uber-Konto des Auftragnehmers einzuloggen. Jedes Mal erhielt der Auftragnehmer eine Zwei-Faktor-Login-Genehmigungsanfrage, die den Zugriff zunächst blockierte. Schließlich akzeptierte der Auftragnehmer jedoch einen und der Angreifer meldete sich erfolgreich an.” Das nennt sich klassisch MFA-Bombing.
Einmal eingeloggt, griff der Angreifer auf mehrere andere Mitarbeiterkonten zu, die dem Angreifer schließlich erhöhte Berechtigungen für eine Reihe von Tools, darunter G-Suite und Slack, einräumten. Der Angreifer hat dann eine Nachricht an einen unternehmensweiten Slack-Kanal gesendet und Ubers OpenDNS neu konfiguriert, um Mitarbeitern auf einigen internen Websites ein grafisches Bild anzuzeigen.
Wie hat Uber reagiert?
Uber sagt dazu “Unsere bestehenden Sicherheitsüberwachungsprozesse ermöglichten es unseren Teams, das Problem schnell zu identifizieren und darauf zu reagieren. Unsere oberste Priorität war sicherzustellen, dass der Angreifer keinen Zugriff mehr auf unsere Systeme hatte; um sicherzustellen, dass die Benutzerdaten sicher sind und die Uber-Dienste nicht beeinträchtigt werden; und dann den Umfang und die Auswirkungen des Vorfalls zu untersuchen.”
Hier sind die wichtigsten Maßnahmen, die Uber ergriffen haben will:
- Es wurden alle Mitarbeiterkonten identifiziert, die kompromittiert oder potenziell kompromittiert waren, und entweder ihren Zugang zu Uber-Systemen blockiert oder ein Zurücksetzen des Passworts erforderlich gemacht.
- Es wurden viele betroffene oder potenziell betroffene interne Tools deaktiviert.
- Es wurden Schlüssel für viele der internen Dienste rotiert (was den Zugriff effektiv zurücksetzt).
- Es wurde Codebasis gesperrt, um neue Codeänderungen zu verhindern.
- Bei der Wiederherstellung des Zugriffs auf interne Tools mussten sich die Mitarbeiter erneut authentifizieren. Außerdem wurden die Richtlinien für die Multi-Faktor-Authentifizierung (MFA) gestärkt.
- Es wurde eine zusätzliche Überwachung der internen Umgebung hinzugefügt, um weitere verdächtige Aktivitäten noch genauer im Auge zu behalten.
Was war die Auswirkung?
Uber meint dazu, alles im Griff zu haben: “Der Angreifer hat auf mehrere interne Systeme zugegriffen, und unsere Untersuchung hat sich darauf konzentriert, festzustellen, ob es wesentliche Auswirkungen gab. Während die Untersuchung noch andauert, haben wir einige Details unserer aktuellen Ergebnisse, die wir teilen können. Zuallererst haben wir nicht gesehen, dass der Angreifer auf die Produktionssysteme zugegriffen hat, auf denen unsere Apps laufen. Alle Benutzerkonten; oder die Datenbanken, die wir zum Speichern sensibler Benutzerinformationen verwenden, wie Kreditkartennummern, Bankkontoinformationen des Benutzers oder Reiseverlauf. Wir verschlüsseln auch Kreditkarteninformationen und persönliche Gesundheitsdaten und bieten so eine weitere Schutzebene.
Wir haben unsere Codebasis überprüft und keine Änderungen durch den Angreifer festgestellt. Wir haben auch nicht festgestellt, dass der Angreifer auf Kunden- oder Benutzerdaten zugegriffen hat, die bei unseren Cloud-Anbietern (z. B. AWS S3) gespeichert sind. Es scheint, dass der Angreifer einige interne Slack-Nachrichten heruntergeladen und Informationen von einem internen Tool abgerufen oder heruntergeladen hat, das unser Finanzteam verwendet, um einige Rechnungen zu verwalten. Wir analysieren diese Downloads derzeit.”
Wurden die Schwachstellenberichte entwendet?
Laut Uber soll diese Gefahr gebannt sein “Der Angreifer konnte auf unser Dashboard bei HackerOne zugreifen, wo Sicherheitsforscher Fehler und Schwachstellen melden. Alle Fehlerberichte auf die der Angreifer zugreifen konnte, wurden jedoch behoben. Während der gesamten Zeit konnten wir alle unsere öffentlich zugänglichen Uber-, Uber Eats- und Uber Freight-Dienste betriebsbereit und reibungslos betreiben. Da wir einige interne Tools heruntergefahren haben, war der Kundendienstbetrieb nur minimal beeinträchtigt und läuft jetzt wieder normal.”
Uber glaubt an einen Lapsus$ -Angriff
Auch wenn es noch keine genauen Beweise gibt, so glaubt Uber, dass es sich bei der Attacke um einen Lapsus$-Angriff gehandelt hat. “Wir glauben, dass dieser Angreifer (oder Angreifer) mit einer Hacking-Gruppe namens Lapsus$ verbunden ist, die im letzten Jahr oder so immer aktiver wurde. Diese Gruppe verwendet in der Regel ähnliche Techniken, um Technologieunternehmen anzugreifen, und hat allein im Jahr 2022 unter anderem Microsoft, Cisco, Samsung, Nvidia und Okta verletzt. Es gibt auch Berichte über das Wochenende, dass derselbe Akteur den Videospielhersteller Rockstar Games angegriffen hat. Wir stehen in dieser Angelegenheit in enger Abstimmung mit dem FBI und dem US-Justizministerium und werden ihre Bemühungen weiterhin unterstützen.”
Was macht Uber nun?
Uber will weiter die forensischen Daten auswerten und nutzt dazu viel Expertise. Daneben will Uber aus dem Angriff lernen und an Richtlinien, Praktiken und Technologien arbeiten und die Abwehr zu stärken und vor zukünftigen Angriffen zu schützen.
Mehr bei Uber.com