Aktuelles, Branche - geschrieben von dp am Mittwoch, September 28, 2022 20:44 - noch keine Kommentare
Uber: 18-jähriger Hacker nutzte kritische Sicherheitslücke durch Social-Engineering-Techniken aus
Angreifer soll sich administrativen Zugriff auf Cloud-Dienste von Uber verschafft haben
[datensicherheit.de, 22.09.2022] „Die jüngste Kompromittierung des international erfolgreichen US-Fahrdienstleisters Uber dominiert nicht nur in Deutschland die Nachrichten in den IT-Medien“, kommentiert Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, eine aktuelle, aufsehenerregende Hacker-Attacke. Es werde vermutet, dass es einem Hacker durch den Einsatz von Social-Engineering-Methoden gelungen sei, sich Zugriff auf das gesamte Netzwerk von Uber zu verschaffen.

Foto: KnowBe4
Jelle Wieringa rät abermals zu umfassendem Training des Sicherheitsbewusstseins der Mitarbeiter
Hacker behauptet, vollständige Kompromittierung von Uber erreicht zu haben
Der Angreifer soll bei diesem Vorfall in mehrere interne Systeme eingedrungen sein und sich administrativen Zugriff auf die „Cloud“-Dienste von Uber verschafft haben – unter anderem auf „Amazon Web Services“ (AWS) und „Google Cloud“ (GCP).
„Er selbst behauptet, eine vollständige Kompromittierung von Uber erreicht zu haben und hat Screenshots veröffentlicht, auf denen er volle Administratorrechte auf AWS und GCP besitzt“, berichtet Wieringa und führt aus: „Ein Sicherheitsingenieur bei Yuga Labs, der mit dem Hacker korrespondierte, hat diese Behauptungen bereits bestätigt, wobei das tatsächliche Ausmaß des Angriffs immer noch unklar ist.“
Angriff durch Textnachricht an Uber-Mitarbeiter initiiert
Der Hacker, laut eigenen Angaben erst 18 Jahre alt, habe zudem gegenüber der „New York Times“ erklärt, dass der Angriff durch eine Textnachricht an einen Uber-Mitarbeiter initiiert worden sei. Im Zuge dessen habe er sich als Mitarbeiter der IT-Abteilung des Unternehmens ausgegeben und den Angestellten zur Preisgabe eines Passworts überredet. Wieringa: „So gelang es ihm, mit dem Einsatz dieser klassischen und simplen Social-Engineering-Technik, tief in die Systeme von Uber einzudringen.“ Er solle laut neuesten Angaben auch ein Mitglied der bekannten und äußerst erfolgreichen Hacker-Gruppe „Lapsus$“ sein.
Mit Hilfe des Passworts habe sich der Angreifer schließlich leicht Zugang zum internen VPN verschaffen können. „Im Unternehmensnetzwerk fand er hochprivilegierte Anmeldeinformationen auf Netzwerkdateifreigaben und nutzte diese, um auf alles zuzugreifen, einschließlich der Produktionssysteme, der EDR (Endpoint Detection and Response)-Konsole und der Slack-Verwaltungsoberfläche von Uber.“
Vorfall bei Uber zeigt, wie anfällig bisherige Ansätze für Sicherheitslücken sind
„Die Kombination aus ,Zero Trust’ und der Multi-Faktor-Authentifizierung scheint in der Sicherheitsbranche zu einem leeren Versprechen für totale Sicherheit geworden zu sein, aber der Vorfall bei Uber zeigt deutlich, wie anfällig auch dieser Ansatz für Sicherheitslücken ist“, so Wieringa.
Umso wichtiger seien effektive Maßnahmen zur Vorbeugung solcher raffinierter Social-Engineering-Angriffe. „Beim ,Social Engineering’ geht es darum, eine Person so zu manipulieren, dass sie tut, was der Bedrohungsakteur möchte“, erläutert Wieringa. Das Fundament der Sicherheitsstrategie sollte deshalb ein umfassendes Training des Sicherheitsbewusstseins der Mitarbeiter bilden.
Weitere Informationen zum Thema:
TAGESSPIEGEL BACKGROUND, Haya Shulman und Michael Waidner, 21.09.2022
Der Uber-Hack und was wir aus ihm lernen können
The New York Times, Kate Conger und Kevin Roose, 15.09.2022
Uber Investigating Breach of Its Computer Systems / The company said on Thursday that it was looking into the scope of the apparent hack
Aktuelles, Branche, Gastbeiträge - Juli 14, 2026 14:43 - noch keine Kommentare
Phishing-as-a-Service: Cybercrime im Abo
weitere Beiträge in Experten
- EU-Bericht zum Kinderschutz im Internet: Bitkom fordert risikobasierten Ansatz als Leitprinzip zu erhalten
- QuantERA: Universität Paderborn bei europäischem Förderprojekt-Aufruf 2025 erfolgreich
- DENIC meldet Digitalen Meilenstein: Anzahl der „.de“-Domains hat 18-Millionen-Marke gerissen
- AI Act: Bundesrat hat Weg für Durchführungsgesetz zur europäischen KI-Verordnung freigemacht
- ISMS: Sieben Tipps für mehr Datensicherheit in KMU
Aktuelles, Branche, Gastbeiträge - Juli 14, 2026 14:43 - noch keine Kommentare
Phishing-as-a-Service: Cybercrime im Abo
weitere Beiträge in Branche
- Cybersecurity-Kompetenz: Kleine Unternehmen holen sich zunehmend externe Expertise
- Eskalation digitaler Angriffe auf die Produktion: NIS-2-Haftungsfalle für den Mittelstand
- Cyber Resilience Act (CRA): Bringschuld der Unternehmen per September 2026
- Deutsche Bank: Vorwürfe der Datenschutzverletzung thematisieren Gefährdung durch Mitarbeiter-Zugänge
- Datensicherheit und digitale Souveränität: Grundlagen nachhaltiger Wettbewerbsfähigkeit
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen



Kommentieren