Von Paul Baird, CTSO UK bei Qualys

Uber wurde laut eigener Aussage auf Twitter in der Nacht auf Freitag, dem 16. September Opfer eines Hackerangriffs. Medienberichten zufolge habe sich der Angreifer Zugang zu mehreren Systemen des Mobilitätsdienstleisters verschafft.

Bisher gibt es lediglich Vermutungen zu den genauen Details des Vorfalls. Um ein exaktes Bild von der potenziellen Sicherheitsverletzung zu bekommen, muss zunächst auf die vollständige RCA (Root Cause Analysis) von Uber gewartet werden – falls diese jemals veröffentlicht wird. Wenn die bisherige Berichterstattung wahr ist, dann gab es mehrere Fehler in den IT- und Cybersicherheitsvorkehrungen von Uber. 

Der ursprüngliche Angriffsvektor des Social Engineering ist immer noch schwer abzuwehren, vor allem dann, wenn er über eine SMS kam. Es gab aber offensichtlich auch keine MFA im Unternehmens-VPN, und ein PowerShell-Skript mit Zugriffsverwaltungsberechtigungen in einem Intranet-System zu hinterlassen, ist unentschuldbar. 

Hacker, die aus „Spaß“ in Unternehmensnetzwerke eindringen, sind am gefährlichsten. Da das einzige Ziel der Hacker in der Regel darin besteht, sich Zugang zu internen Systemen zu verschaffen, Schaden anzurichten und Daten zu stehlen, kann Uber nun nur sehr wenig tun, um die Auswirkungen der Sicherheitsverletzung zu minimieren. Wenn man es jedoch mit finanziell motivierten Akteuren zu tun hat, gibt es zumindest die Möglichkeit der Zahlung eines Lösegelds, um das Ausmaß des Schadens zu lindern. 

Ich bin überrascht, dass die internen Sicherheitssysteme den East-West Traffic nicht abgefangen haben, während der Angreifer das Netzwerk auf der Suche nach reicher Beute durchquerte (die er in Form von vertraulichen Unternehmensinformationen und Quellcode anscheinend bekommen hat).

Uber muss aus dieser Sicherheitsverletzung lernen, seine IT- und Cybersicherheitsprogramme verstärken, MFA einführen oder erweitern und eine Bereinigung der Systeme durchführen, um sicherzustellen, dass Skripte und Dokumente, die auf internen Systemen liegen, keine Informationen beinhalten, die Angreifern die Tür weit öffnen.