Uber-Hack: Anbieter meldet Entwarnung
Uber gibt unklare Entwarnung zum Hack
Sicherheitsvorfall bei Uber: Ein 18-Jähriger erlangte Zugriff auf nahezu alle Systeme.
Foto: iStock.com/MOZCO Mateusz Szymanski
Uhr
Ein 18-Jähriger hatte Uber gehackt. Der Anbieter gibt jetzt Entwarnung – allerdings lässt die Formulierung Spielraum für Zweifel.
Wie die New York Times berichtete, hatte ein 18-Jähriger Zugriff auf viele interne Uber-Systeme. Der Anbieter gibt nun für die Nutzerinnen und Nutzer Entwarnung – allerdings sehr zurückhaltend.
Uber-Hack: Keine Kundendaten betroffen?
Uber hat ein Update zum Vorfall veröffentlicht. Darin bestätigt das Unternehmen, dass alle Dienste weiterhin funktionstüchtig sind und die sicherheitshalber deaktivierten internen Services am 16. September 2022 wieder gestartet sind. Das Unternehmen äußert sich auch dazu, ob Nutzerdaten betroffen sind, aber nur sehr kurz und nicht sehr deutlich. "Wir haben keine Beweise gefunden, dass der Vorfall sensible Nutzerdaten betraf", heißt es. Das kann nun bedeuten, dass der Hacker keinen Zugriff auf Nutzerdaten hatte, aber auch, dass der Hacker zwar die Zugänge hatte, Uber aber keine Belege dafür gefunden hat, dass er die auch genutzt hat. Kundinnen und Kunden des Unternehmens sollten daher vorsichtshalber das Passwort ändern.
18-Jähriger hackt Uber
Der Angreifer schickte einem Uber-Mitarbeiter eine Textnachricht und gab sich darin als IT-Mitarbeiter der Firma aus. So gelang es ihm, das Slack-Passwort eines echten Mitarbeiters zu bekommen und auf die interne Uber-Kommunikation zuzugreifen. Noch ist unklar, wie der Angriff dann weiterging. Zum Beweis seines Eindringens gepostete Screenshots belegen aber, dass der Hacker Zugriff auf nahezu alle Uber-Systeme bekam, darunter etwa die Windows-Domäne und die Security-Software der Firma. Zudem erhielt er Administrator-Zugänge zum E-Mail-Server, zu den Amazon-Servern von Uber und Zugriff auf das Bug-Bounty-Programm des Unternehmens. Neben seinem Alter verriet der Hacker, der seit Jahren an seinen Cybersecurity-Fähigkeiten gearbeitet habe, freimütig auch seine Motivation für den Einbruch: Ubers schwache Sicherheitssysteme hätten ihn dazu verleitet.
An dieser Stelle finden Sie soziale Netzwerke
Um die sozialen Netzwerke darstellen zu können, benötigen wir Ihre Zustimmung.
Ich bin damit einverstanden, dass mir Inhalte von Drittanbietern angezeigt werden. Damit können personenbezogene Daten an Drittanbieter übermittelt werden. Dazu ist ggf. die Speicherung von Cookies auf Ihrem Gerät notwendig. Mehr Informationen dazu finden Sie hier.
Kinderhack, aber trotzdem gefährlich
Uber hat den Vorfall auf Twitter bestätigt, ist aber noch dabei, das System zu sichern und den Angriff zu untersuchen. Das Unternehmen hatte offenbar Glück im Unglück, denn dem Anschein nach wusste der Angreifer gar nicht wirklich, was er mit dem Zugang anstellen sollte. Stattdessen trieb er einigen Schabernack, lud etwa pornografische Bilder in den Slack-Channel des Unternehmens, machte den Hack in dessen Bug-Bounty-Programm öffentlich und informierte Sicherheitsforscher sowie die New York Times. Von "typischen" Hacker-Aktivitäten wie dem Stehlen von Nutzerdaten und Zahlungsinformationen oder einer Lösegeldforderung ist bisher nichts bekannt. Der Angreifer führt sich laut Bericht eher wie ein Kind auf, das allen zeigen möchte, wie toll es ist.
Ein professioneller Hacker hätte versucht, unerkannt zu bleiben und Profit zu machen. Trotzdem ist das Ausmaß des Angriffs gefährlich. Die belegten Zugriffsrechte lassen zumindest vermuten, dass auch Zugriffe auf Nutzerdaten möglich waren. Zudem waren im Bug-Bounty-Programm Sicherheitslücken dokumentiert, die noch nicht geschlossen sind. Welche Gefahr für Uber-Nutzerinnen und -Nutzer tatsächlich besteht, muss die firmeninterne Untersuchung des Vorfalls zeigen. Haben Sie einen Uber-Account, achten Sie in nächster Zeit vorsichtshalber verstärkt auf Phishing.