Uber: 18-jähriger Hacker nutzte kritische Sicherheitslücke durch Social-Engineering-Techniken aus

Angreifer soll sich administrativen Zugriff auf Cloud-Dienste von Uber verschafft haben

[datensicherheit.de, 22.09.2022] „Die jüngste Kompromittierung des international erfolgreichen US-Fahrdienstleisters Uber dominiert nicht nur in Deutschland die Nachrichten in den IT-Medien“, kommentiert Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, eine aktuelle, aufsehenerregende Hacker-Attacke. Es werde vermutet, dass es einem Hacker durch den Einsatz von Social-Engineering-Methoden gelungen sei, sich Zugriff auf das gesamte Netzwerk von Uber zu verschaffen.

Foto: KnowBe4

Jelle Wieringa rät abermals zu umfassendem Training des Sicherheitsbewusstseins der Mitarbeiter

Hacker behauptet, vollständige Kompromittierung von Uber erreicht zu haben

Der Angreifer soll bei diesem Vorfall in mehrere interne Systeme eingedrungen sein und sich administrativen Zugriff auf die „Cloud“-Dienste von Uber verschafft haben – unter anderem auf „Amazon Web Services“ (AWS) und „Google Cloud“ (GCP).
„Er selbst behauptet, eine vollständige Kompromittierung von Uber erreicht zu haben und hat Screenshots veröffentlicht, auf denen er volle Administratorrechte auf AWS und GCP besitzt“, berichtet Wieringa und führt aus: „Ein Sicherheitsingenieur bei Yuga Labs, der mit dem Hacker korrespondierte, hat diese Behauptungen bereits bestätigt, wobei das tatsächliche Ausmaß des Angriffs immer noch unklar ist.“

Angriff durch Textnachricht an Uber-Mitarbeiter initiiert

Der Hacker, laut eigenen Angaben erst 18 Jahre alt, habe zudem gegenüber der „New York Times“ erklärt, dass der Angriff durch eine Textnachricht an einen Uber-Mitarbeiter initiiert worden sei. Im Zuge dessen habe er sich als Mitarbeiter der IT-Abteilung des Unternehmens ausgegeben und den Angestellten zur Preisgabe eines Passworts überredet. Wieringa: „So gelang es ihm, mit dem Einsatz dieser klassischen und simplen Social-Engineering-Technik, tief in die Systeme von Uber einzudringen.“ Er solle laut neuesten Angaben auch ein Mitglied der bekannten und äußerst erfolgreichen Hacker-Gruppe „Lapsus$“ sein.
Mit Hilfe des Passworts habe sich der Angreifer schließlich leicht Zugang zum internen VPN verschaffen können. „Im Unternehmensnetzwerk fand er hochprivilegierte Anmeldeinformationen auf Netzwerkdateifreigaben und nutzte diese, um auf alles zuzugreifen, einschließlich der Produktionssysteme, der EDR (Endpoint Detection and Response)-Konsole und der Slack-Verwaltungsoberfläche von Uber.“

Vorfall bei Uber zeigt, wie anfällig bisherige Ansätze für Sicherheitslücken sind

„Die Kombination aus ,Zero Trust’ und der Multi-Faktor-Authentifizierung scheint in der Sicherheitsbranche zu einem leeren Versprechen für totale Sicherheit geworden zu sein, aber der Vorfall bei Uber zeigt deutlich, wie anfällig auch dieser Ansatz für Sicherheitslücken ist“, so Wieringa.
Umso wichtiger seien effektive Maßnahmen zur Vorbeugung solcher raffinierter Social-Engineering-Angriffe. „Beim ,Social Engineering’ geht es darum, eine Person so zu manipulieren, dass sie tut, was der Bedrohungsakteur möchte“, erläutert Wieringa. Das Fundament der Sicherheitsstrategie sollte deshalb ein umfassendes Training des Sicherheitsbewusstseins der Mitarbeiter bilden.

Weitere Informationen zum Thema:

TAGESSPIEGEL BACKGROUND, Haya Shulman und Michael Waidner, 21.09.2022
Der Uber-Hack und was wir aus ihm lernen können

The New York Times, Kate Conger und Kevin Roose, 15.09.2022
Uber Investigating Breach of Its Computer Systems / The company said on Thursday that it was looking into the scope of the apparent hack