Uber wurde offenbar von einem Teenager gehackt
Uber soll von einem Teenager gehackt worden sein. Das Unternehmen hat bereits einen Cybersecurity-Vorfall eingestanden. Der Hacker soll gerade einmal 18 Jahre alt sein und sich Admin-Zugangsrechte für etwa die Amazon Web Services und die Google Cloud Plattform bei Uber gesichert haben. Uber nahm bereits als Reaktion einige interne Systeme sowie den Zugriff auf Tools wie Slack offline.
Nach eigenen Angaben stehe Uber bereits mit den zuständigen Behörden in Kontakt. Weitere Einzelheiten wollte man aber nicht preisgeben. Viele der Mitarbeiter sollen den Cyberangriff erst für einen Witz gehalten haben, da der Hacker einfach bei Slack eine Ansage postete und zudem darauf verwies, dass Uber seine Fahrer zu schlecht entlohne.
Honestly kind of a classy way to hack someone ???@Uber pic.twitter.com/fFUA5xb3wv
— Colton (@ColtonSeal) September 16, 2022
Der Hacker soll laut New York Times angegeben haben, dass er Uber zum Spaß gehackt habe und mit dem Gedanken spiele, den Quellcode des Unternehmens zu veröffentlichen. Zugriff auf Ubers Systeme will er über Social Engineering erhalten habe, also durch das Abgreifen der Daten von einem Mitarbeiter. Mal sehen, wie sich die Lage noch entwickelt. Hauptsache, es geraten keine Daten von Kunden und Fahrern in Gefahr.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
„Hauptsache, es geraten keine Daten von Kunden und Fahrern in Gefahr.“
tja Ambivalenz ick hör dir trapsen.
Manche Anbieter lernen nur durch Schmerzen.
Ich kenne mich damit nicht so genau aus, aber wenn der Hacker so an die Zugangsdaten gekommen ist, wie es im Artikel steht, würde ich nicht sagen, dass das System tatsächlich Opfer eines Hackerangriffs geworden ist. Entsprechend gäbe es dafür diesen Anbieter auch nichts zu lernen, denn dagegen kann man sich auch nicht wirklich absichern.
Doch. Du kannst Deine Mitarbeiter schulen, bestimmte Aktivitäten nur nach ganz bestimmten Protokollen durchzuführen, bestimmte Daten nur über ganz bestimmte Kanäle zu verbreiten.
Ohne über den konkreten Hergang genauer Bescheid zu wissen, werden Benutzernamen und Passwörter zum Beispiel niemals über Slack kommuniziert und auch nicht per E-Mail, sondern über den firmeninternen, zentralen Passwortmanager (der nicht in der Cloud steht sondern in Hardware in der Firma und zu dem es ein VPN für jeden Mitarbeiter gibt) über die dort enthaltene „Daten teilen mit“-Funktion.
Wenn ein Kollege zu unserem AWS keinen Zugriff hat und wir beide der Meinung sind er sollte den haben dann kriegt er den von mir, aber eben nicht per Postkarte und nicht auf dem Kanal auf dem er mich darum bittet sondern über ein verschlüsseltes Medium und über einen völlig anderen Kanal.
Und was mach ich wenn ein Kollege behauptet, sein VPN ginge gerade nicht und er braucht die Zugangsdaten kurz via Slack? Hey, lass uns kurz nen Videocall machen und drüber quatschen.
Man kann solche Szenarien definieren und den Umgang damit sinnvoll vorgeben. Dass sich Kollegen nicht an Anweisungen halten kann zwar trotzdem passieren, aber wenn es Handreichungen und regelmäßige Schulungen darüber gibt reduziert das das Risiko schon mal ungemein.
Gerade was Sensibilisierung betrifft, persönliches Risikobewusstsein und Risikoabschätzungen und im Zweifelsfall lieber den Weg eine Stufe zu sicher als eine Stufe zu unsicher zu gehen, das ist alles kein Naturgesetz sondern lässt sich lernen und üben.
Deshalb gehört das Verhalten der Mitarbeiter und der Umgang mit genau diesen Themen auch zum „System Uber“.
Lerneffekt durch Schmerzen wäre in meinen Augen eher eine empfindliche Strafe, die der Schuldige ganz alleine zu tragen hätte (vorausgesetzt, man hätte wirklich vorsätzlich versagt und/oder es mit vertretbarem Aufwand verhindern können), ohne Möglichkeit es anderen aufzupreisen, bzw. gänzlich ohne Strafe.
Für mich kein Lerneffekt: dauernd alle PW zu ändern, nur weil Datensicherheit außerhalb meines Einflussbereichs eigentlich keinen wirklich schert.
Sehr geil sind auch ´Schutzmechanismen´, die zur Verifizierung einen Code per Mail schicken …
Wenn sie das mal wieder nicht tun … fragt man sich schon, wer hier eigentlich primär vom Zugang abgehalten werden soll. Natürlich passiert das nicht bei einem Kauf (wg. Vermeidung jeglicher psychologischer Hürden), sondern erst wenn man auch tatsächlich versucht das Erworbene zu nutzen.
Das durch fehlende Datensparsamkeit jede Mistinformation im Profil landet, die eigentlich für keinen Zweck außer Mißbrauch benötigt wird, tut ihr Übriges …
„Uber zum Spaß gehackt habe“ – großes Kino.
Da könnte sich unser Security-Verwantwortlicher direkt einen neuen Job suchen, der würde bestimmt vom Wachdienst direkt raus begleitet, ohne über LOS zu gehen.
Uber ist aber eine Deletanten-Firma.
Social Engineering… früher hatten Hacker noch Hoodies auf und saßen mit Pizza im Keller im Dunkeln… heutzutage hackt man also indem man sich via Facebook und Co. an einen Angestellten einer Firma heranschleimt oder wie darf man das verstehen 🙂