Letzte Woche hat sich ein böser Akteur in die Systeme von Uber gehackt und landesweit höhere Löhne für Uber-Fahrer gefordert. Der Sicherheitsvorfall wurde von Uber direkt am 15. September bestätigt und führte dazu, dass das Mitfahrunternehmen einige seiner internen Systeme vorübergehend offline nahm, während es das Problem untersuchte.
Die Systeme von Uber sind jetzt wieder online, obwohl der Ruf des Unternehmens bereits geschädigt wurde, was den Schlag des Sicherheitsvorfalls von Uber im Jahr 2016 noch verstärkt. Entsprechend Die New York Timeswar der schlechte Schauspieler kein anderer als ein 18-Jähriger, der sich einfach wegen der “schwachen Sicherheit” des Unternehmens Zugang verschafft hatte, obwohl Uber nach eigenen Ermittlungen den Hack mit einem internationalen Hackerring namens Uber in Verbindung bringt Lapsus$.
Angestellte angeblich wurde auf den Hack aufmerksam, nachdem sie eine E-Mail erhalten hatten, in der sie angewiesen wurden, die Verwendung von Slack, dem internen Messaging-Tool des Unternehmens, einzustellen. Dies ist die gleiche Messaging-Plattform, auf der sich der schlechte Schauspieler Berichten zufolge durch das Senden einer Nachricht bekannt gemacht hat, die lautete: „Ich gebe bekannt, dass ich ein Hacker bin und Uber einen Datenverstoß erlitten hat“, zusammen mit der Forderung nach höheren Löhnen für Fahrer. Mitarbeiter sind sagte gedacht zu haben, dass jemand einen Scherz spielt und sich über den schlechten Schauspieler lustig gemacht hat. Später berichteten sie, dass ihnen jedes Mal, wenn sie versuchten, eine Website zu erreichen, stattdessen eine Seite mit einem pornografischen Bild neben den Worten „F*** you Wichser“ präsentiert wurde.
In einem Aussage Am Freitag veröffentlicht, sagte Uber, dass es „keine Beweise“ dafür habe, dass der schlechte Schauspieler Zugang zu sensiblen Benutzerdaten erlangt habe. Später wurde am Montag klargestellt, dass die Angreifer auf keine öffentlich zugänglichen Systeme oder Datenbanken mit sensiblen Benutzerdaten zugegriffen hatten. Uber räumte ein, dass die Angreifer Zugriff auf mehrere seiner zentralen Infrastrukturressourcen hatten, etwas, von dem der Angreifer letzte Woche offen Bilder mit Sicherheitsforschern teilte.
„Sie haben so ziemlich vollen Zugriff auf Uber.“ sagte Sam Curry, ein Sicherheitsingenieur bei Yuga Labs. „So wie es aussieht, ist das ein totaler Kompromiss.“
Der Bedrohungsakteur unterhielt sich mit mehreren Sicherheitsforschern über die Angelegenheit und stellte Screenshots und Details zu ihren Taktiken, Techniken und Verfahren (TTPs) für die Verletzung zur Verfügung. Laut dem Hacker waren sie in der Lage, Social-Engineering-Taktiken einzusetzen, um einen Mitarbeiter zu kompromittieren und ihre Anmeldeinformationen durch eine Low-Level-Technik namens Social Engineering zu erhalten. Uber sagt, dass das kompromittierte Konto tatsächlich einem externen Anbieter gehörte, und es glaubt, dass das Passwort aus dem Dark Web geschabt und nicht tatsächlich durch Social Engineering erlangt wurde, wie der Angreifer behauptete. Das Unternehmen sagt, dass für dieses Konto die Multi-Faktor-Authentifizierung aktiviert war, aber der Auftragnehmer eine der MFA-Push-Benachrichtigungen akzeptierte und der Angegriffene sich anmelden durfte.
Nachdem er die Zugangsdaten erhalten hatte, konnte sich der Angreifer über eine Virtual Private Network-Verbindung Zugang zu den internen Netzwerken von Uber verschaffen – etwas, das viele Menschen täglich nutzen, nachdem Telearbeit während Covid zu einer normalen Erscheinung wurde. Der Angreifer sagte, dass er dann in der Lage war, die internen Netzwerke von Uber zu scannen und mehrere Verwaltungsschnittstellen zu finden, die er ausnutzen konnte, zusammen mit einer internen Dateifreigabe, die Skripte mit fest codierten Anmeldeinformationen für privilegierte Konten enthielt.
Uber macht mit HackerOne, ein Bug-Bounty-Programm, aber sein Konto ist derzeit deaktiviert, wahrscheinlich weil es von demselben Hacker kompromittiert wurde. In einer Nachricht, die an mehrere offene Berichte gesendet wurde, behauptete ein Angreifer, dass er Zugriff auf Administratorkonten für Ubers Windows Active Directory-Umgebung, Amazon Web Services, Google GSuite sowie seine VMWare vSphere-Umgebung erhalten habe, in der virtuelle Maschinen gehostet werden.
Zusätzliche Screenshots, die mit Sicherheitsforschern geteilt wurden, untermauerten die Behauptungen des Schauspielers, indem sie zeigten, dass sie auch Zugriff auf das Dashboard von SentinelOne, dem Endpunktsicherheitsanbieter des Unternehmens, sowie auf das erhalten hatten unternehmensinterne Finanzdaten.
Einige Tage später wurde ein weiterer Hack mit einem ähnlichen Modus Operandi (Verwendung kompromittierter Zugangsdaten für den Zugriff auf ein VPN und Diebstahl von Quellcode) ans Licht gebracht. Rockstar Games, das Studio hinter der Grand Theft Auto-Serie, erlebte einen erheblichen Leak des nächsten Teils des Spiels. Der Hacker veröffentlichte das Leck in Online-Foren und behauptete angeblich, dass sie dieselbe Person hinter der Verletzung von Uber seien. Eine ähnliche Zugriffsmethode soll verwendet worden sein: Die Anmeldeinformationen eines Mitarbeiters wurden gehackt und verwendet, um sich bei der Slack-Instanz des Unternehmens anzumelden.
Rockstar bestätigte den Verstoß am Montagmorgen, ging jedoch nicht näher auf den Angriff ein oder stellte fest, ob Kundendaten verletzt wurden.
Während beide Angriffe erheblich sind, ist der Uber-Hack besonders wichtig zu diskutieren, zumal der schlechte Schauspieler online so lautstark über seine TTPs sprach, von denen viele mit der Lapsus $-Gruppe übereinstimmen. Im Jahr 2017 entließ Uber seinen obersten Sicherheitsmanager Joe Sullivan, nachdem das Unternehmen im Jahr zuvor den Verstoß behandelt hatte. Es scheint jedoch noch einige Probleme zu geben.
Aus Sicherheitssicht scheint es eine beträchtliche Anzahl von Problemen in der Infrastruktur von Uber zu geben, die vom Angreifer öffentlich gemacht wurden. Für den Anfang erlaubte eine fehlende Netzwerksegmentierung Berichten zufolge dem verletzten Konto, alle Verwaltungsnetzwerke von Uber von einer einzigen VPN-Verbindung aus zu scannen oder zumindest in andere Bereiche des Netzwerks zu wechseln, wo dies möglich war. Ebenso scheint es, basierend auf der Antwort des Angreifers, dass Uber den Grundregeln nicht folgt Prinzip der geringsten Berechtigung für den Kontozugriff, was bedeutet, dass Mitarbeiter mehr Zugriff auf Ressourcen haben könnten, als sie sollten, die für ihre beruflichen Aufgaben nicht wesentlich sind. Ein weiteres Problem scheinen fest codierte Administratoranmeldeinformationen zu sein, die der Angreifer nach eigenen Angaben in Klartextskripten gefunden hat, die auf Netzwerkfreigaben gehostet werden, was laut dem Angreifer dazu führte, dass andere Konten verletzt wurden. Schließlich, aber vielleicht am wichtigsten, ist die Benutzerschulung. Da ein einzelner Benutzer seine Zugangsdaten preisgab oder eine ungültige MFA-Eingabeaufforderung akzeptierte, konnte der Angreifer die Umgebung von Uber infiltrieren und Daten exfiltrieren.
Uber sagt, dass es trotz des Hacks immer noch in der Lage war, sicherzustellen, dass seine Systeme weitgehend unbeeinflusst blieben. Das Unternehmen sagt, dass es dies immer noch als Gelegenheit genutzt hat, Mitarbeiterkennwörter zurückzusetzen und alle Schlüssel zu rotieren, die möglicherweise offengelegt wurden, um den Zugriff und die Persistenz des Angreifers einzuschränken. Der Angreifer hat anscheinend nur einige Nachrichten von Slack und Informationen aus den Finanztools von Uber exfiltriert, was an sich nicht mit dem typischen Verhalten von Lapsus$ übereinstimmt, was bedeutet, dass der Angreifer (oder die Angreifer) in irgendeiner Weise mit der Gruppe verbunden sein könnten Der Hack war möglicherweise keine koordinierte Anstrengung, um finanziellen Gewinn zu erzielen. So viel ist noch unbekannt und wird vom FBI und dem US-Justizministerium untersucht.
Da Fahrzeuge immer vernetzter werden und Online-Dienste fast jeden Teil unseres Lebens umkreisen, ist der Verstoß von Uber nur einer von vielen, die in den nächsten Jahren wahrscheinlich kommen werden. Es sollte nicht nur für große Unternehmen eine Lektion in Cyberhygiene sein, sondern auch für die Informationen, die normale Menschen – Sie und ich – jeden Tag online teilen.
Haben Sie einen Tipp oder eine Frage an den Autor? Kontaktieren Sie sie direkt: [email protected]