Ein Hacker, vorgeblich 18 Jahre alt, ist letzte Woche in das Ride-Sharing-Unternehmen Uber eingedrungen und hat behauptet, er habe Zugang zu einer Vielzahl von Systemen im Netzwerk des Unternehmens. Einem Bericht der New York Times zufolge bezeichnete ein Sicherheitsforscher, der mit dem Hacker kommunizierte, den Vorfall als „totale Kompromittierung“, die dem Angreifer „vollen Zugriff“ auf Uber ermöglicht habe.
Offenbar motiviert durch die Behandlung der Fahrer durch Uber, drang der Hacker auch in den internen Slack-Kanal des Unternehmens ein und veröffentlichte eine Nachricht an die Mitarbeiter über den Angriff. Weitere Einzelheiten über den Sicherheitsvorfall sind noch nicht bekannt, da das Unternehmen den Umfang des Vorfalls noch untersucht.
Es ist jedoch nicht das erste Mal, dass Uber kompromittiert wurde. Im Jahr 2016 waren 57 Millionen Kunden und Fahrer von einer massiven Datenschutzverletzung betroffen, bei der sensible Daten preisgegeben wurden. Das Unternehmen hat zugegeben, den Verstoß vertuscht zu haben, obwohl es gesetzlich verpflichtet war, ihn der Federal Trade Commission zu melden. Der ehemalige Sicherheitschef von Uber, Joe Sullivan, steht derzeit wegen Behinderung der Justiz vor Gericht, weil er die Sicherheitslücke nicht offengelegt hatte. Seine Anwälte haben jedoch argumentiert, dass er alle Informationen an die Rechtsabteilung von Uber weitergegeben hat und dass diese für die Offenlegung gegenüber den Regulierungsbehörden verantwortlich war.
Welche Informationen sind gefährdet?
Uber erklärte, dass es keine Beweise dafür gibt, dass sensible Nutzerdaten kompromittiert wurden. Berichten zufolge verschaffte sich der Hacker jedoch Zugang zu einer Vielzahl von wichtigen Systemen und Ressourcen, darunter:
Wie hat der Hacker das gemacht?
Die Person erklärte gegenüber der New York Times, sie nutze Social Engineering – eine gängige Phishing-Methode, die die menschliche Natur ausnutzt, indem sie Personen dazu bringt, private und vertrauliche Informationen weiterzugeben. Der Hacker kontaktierte einen Mitarbeiter über WhatsApp und gab vor, von Uber IT zu sein. Er überzeugte die Person, sich auf einer gefälschten Uber-Webseite einzuloggen. So konnte der Hacker das Passwort des Mitarbeiters ausspähen und dann dazu bringen, sich mit der Multifaktor-Authentifizierungs-App (MFA) des Unternehmens zu authentifizieren.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten
Vielen Dank! Sie sind abonniert. Halten Sie Ausschau nach Updates direkt in Ihrem Posteingang.
