Das Mitfahrunternehmen Uber wurde gehackt. Daraufhin nahm der Dienst seinen internen Nachrichtendienst Slack und technische Systeme offline.
Uber untersucht aktuell einen Cybersicherheitsvorfall. Darüber gibt eine offizielle Erklärung des Unternehmens auf Twitter Aufschluss. Darin heißt es: „Wir reagieren derzeit auf einen Cybersicherheitsvorfall. Wir stehen in Kontakt mit den Strafverfolgungsbehörden und werden hier weitere Updates veröffentlichen, sobald sie verfügbar sind.“
Offenbar erfolgte der Hack am Donnerstagnachmittag. Wie die New York Times berichtet, hat ein 18-jähriger Hacker die Verantwortung für den Hack übernommen. Er hätte Beweise in Form von internen Uber-System-Screenshots geliefert und erklärt, wie er eine Social-Engineering-Technik verwendet hat, um den Hack durchzuziehen.
Slack-Nachricht offenbart Hackangriff
Gemäß New York Times habe der Hacker einem Uber-Mitarbeiter eine Textnachricht geschickt. Darin gab er sich als IT-Mitarbeiter des Unternehmens aus. Der Mitarbeiter fiel auf den Trick herein und gab dem vermeintlichen IT-Mitarbeiter ein Passwort, mit dem er anschließend auf die Systeme zugreifen konnte. Offenbar ermöglichte das Passwort auch den Zugriff auf das Slack-Konto des Mitarbeiters. Dies verwendete der Hacker, um eine Nachricht an Mitarbeiter des Fahrdienstes zu senden. Darin gab er bekannt, dass das Unternehmen einen Datenverstoß erlitten hat. Später scheint es dem Hacker dann gelungen zu sein, sich Zugang zu anderen internen Systemen zu verschaffen. Dazu hat er ein pornografisches Foto auf einer internen Informationsseite für Mitarbeiter veröffentlicht.
Von sich selbst gab der Hacker preis, er sei 18 Jahre alt. Bereits seit mehreren Jahren habe er an seinen Cybersicherheitsfähigkeiten gearbeitet. Er verkündete, der Hack war ihm möglich aufgrund der schwachen Unternehmenssicherheit. In der Slack-Nachricht, die den Einbruch ankündigte, befand der Angreifer auch, dass Uber-Fahrer eine höhere Bezahlung erhalten sollten.
Uber vollständig komprimittiert?
Der Hacker behauptet, Uber vollständig kompromittiert zu haben. Sam Curry, IT-Sicherheitsbeauftragter bei Yuga Labs, dem Unternehmen hinter der NFT-Serie von Bored Ape Yacht Club, bestätigte dies. Er stand mit dem Hacker in Verbindung und versicherte:
„Sie haben so ziemlich vollen Zugang zu Uber. So wie es aussieht, handelt es sich um eine totale Kompromittierung“.
Bleeping Computer wies dabei auf Screenshots hin, die den Zugriff des Hackers auf „kritische Uber-IT-Systeme“ belegen. Darunter „Sicherheitssoftware und die Windows-Domäne des Unternehmens“. Zudem hätte der Hacker sich „Zugriff auf die Amazon Web Services-Konsole des Unternehmens, auf die VMware ESXi von Uber und das E-Mail-Admin-Dashboard von Google Workspace“ verschafft. Weiteren Zugriff hatte er dann noch auf besagten Slack-Server.
Wie es scheint, hätte der Hacker auch Zugriffsrechte auf das Bug-Bounty-Programm HackerOne des Unternehmens erlangt. Sam Curry bemerkte, der Angreifer hätte alle Bug-Bounty-Tickets des Unternehmens kommentiert. Ferner soll er Schwachstellenberichte des Fahrdienstes heruntergeladen haben. Marten Mickos, CEO von HackerOne, hat erklärt, dass das Uber-Konto gesperrt wurde und das Unternehmen mit Uber zusammenarbeite, um bei der Untersuchung zu helfen.
New York Times verweist auf eine interne E-Mail. Latha Maripuri, Chief Information Security Officer von Uber, informierte darin:
„Wir haben derzeit keine Schätzung, wann der volle Zugriff auf Tools wiederhergestellt wird“
Jake Moore, Global Cyber Security Advisor bei ESET, kommentiert den Hack:
„Dieser Angriff hat dazu geführt, dass Uber eine beträchtliche Menge an Daten verloren hat, die das Potenzial haben, persönliche Daten von Kunden und Fahrern einzuschließen. Dies scheint das Werk eines cleveren Social-Engineering-Angriffs zu sein. Der Zugriff auf private Daten innerhalb von VPNs muss schwierig sein und hinter strengen Schutzmaßnahmen liegen. Das wirft bei Uber viele Fragen darüber auf, wie viele Daten über eine so einfache Methode kompromittiert wurden.“
Sam Curry ergänzt:
„Es sieht so aus, als ob es sich um ein Kind handelt, das bei Uber eingestiegen ist und nicht weiß, was es damit anfangen soll, und das die Zeit seines Lebens hat“
Immerhin bestätigte Uber den aktuellen Vorfall. Noch im Jahr 2016 versuchte das Unternehmen eine erlittene Datenpanne zu vertuschen. Sie zahlten dem Hacker damals 100.000 Dollar, um die gestohlenen Informationen zu löschen.
Update vom 17.09.2022
Wie CNN berichtete, äußerte sich Uber in einem Update am Freitagnachmittag, dass es
„keine Beweise dafür gebe, dass der Vorfall den Zugriff auf sensible Benutzerdaten beinhaltete“, wie etwa die Fahrhistorie der Passagiere. [,,,] Interne Software-Tools, die wir gestern vorsorglich abgeschaltet haben, kommen heute Morgen wieder online. Alle unsere Dienste, einschließlich Uber, Uber Eats, Uber Freight und die Uber Driver App, sind betriebsbereit.“