Aktuelles, Branche - geschrieben von dp am Mittwoch, September 28, 2022 20:44 - noch keine Kommentare
Uber: 18-jähriger Hacker nutzte kritische Sicherheitslücke durch Social-Engineering-Techniken aus
Angreifer soll sich administrativen Zugriff auf Cloud-Dienste von Uber verschafft haben
[datensicherheit.de, 22.09.2022] „Die jüngste Kompromittierung des international erfolgreichen US-Fahrdienstleisters Uber dominiert nicht nur in Deutschland die Nachrichten in den IT-Medien“, kommentiert Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, eine aktuelle, aufsehenerregende Hacker-Attacke. Es werde vermutet, dass es einem Hacker durch den Einsatz von Social-Engineering-Methoden gelungen sei, sich Zugriff auf das gesamte Netzwerk von Uber zu verschaffen.
Jelle Wieringa rät abermals zu umfassendem Training des Sicherheitsbewusstseins der Mitarbeiter
Hacker behauptet, vollständige Kompromittierung von Uber erreicht zu haben
Der Angreifer soll bei diesem Vorfall in mehrere interne Systeme eingedrungen sein und sich administrativen Zugriff auf die „Cloud“-Dienste von Uber verschafft haben – unter anderem auf „Amazon Web Services“ (AWS) und „Google Cloud“ (GCP).
„Er selbst behauptet, eine vollständige Kompromittierung von Uber erreicht zu haben und hat Screenshots veröffentlicht, auf denen er volle Administratorrechte auf AWS und GCP besitzt“, berichtet Wieringa und führt aus: „Ein Sicherheitsingenieur bei Yuga Labs, der mit dem Hacker korrespondierte, hat diese Behauptungen bereits bestätigt, wobei das tatsächliche Ausmaß des Angriffs immer noch unklar ist.“
Angriff durch Textnachricht an Uber-Mitarbeiter initiiert
Der Hacker, laut eigenen Angaben erst 18 Jahre alt, habe zudem gegenüber der „New York Times“ erklärt, dass der Angriff durch eine Textnachricht an einen Uber-Mitarbeiter initiiert worden sei. Im Zuge dessen habe er sich als Mitarbeiter der IT-Abteilung des Unternehmens ausgegeben und den Angestellten zur Preisgabe eines Passworts überredet. Wieringa: „So gelang es ihm, mit dem Einsatz dieser klassischen und simplen Social-Engineering-Technik, tief in die Systeme von Uber einzudringen.“ Er solle laut neuesten Angaben auch ein Mitglied der bekannten und äußerst erfolgreichen Hacker-Gruppe „Lapsus$“ sein.
Mit Hilfe des Passworts habe sich der Angreifer schließlich leicht Zugang zum internen VPN verschaffen können. „Im Unternehmensnetzwerk fand er hochprivilegierte Anmeldeinformationen auf Netzwerkdateifreigaben und nutzte diese, um auf alles zuzugreifen, einschließlich der Produktionssysteme, der EDR (Endpoint Detection and Response)-Konsole und der Slack-Verwaltungsoberfläche von Uber.“
Vorfall bei Uber zeigt, wie anfällig bisherige Ansätze für Sicherheitslücken sind
„Die Kombination aus ,Zero Trust’ und der Multi-Faktor-Authentifizierung scheint in der Sicherheitsbranche zu einem leeren Versprechen für totale Sicherheit geworden zu sein, aber der Vorfall bei Uber zeigt deutlich, wie anfällig auch dieser Ansatz für Sicherheitslücken ist“, so Wieringa.
Umso wichtiger seien effektive Maßnahmen zur Vorbeugung solcher raffinierter Social-Engineering-Angriffe. „Beim ,Social Engineering’ geht es darum, eine Person so zu manipulieren, dass sie tut, was der Bedrohungsakteur möchte“, erläutert Wieringa. Das Fundament der Sicherheitsstrategie sollte deshalb ein umfassendes Training des Sicherheitsbewusstseins der Mitarbeiter bilden.
Weitere Informationen zum Thema:
TAGESSPIEGEL BACKGROUND, Haya Shulman und Michael Waidner, 21.09.2022
Der Uber-Hack und was wir aus ihm lernen können
The New York Times, Kate Conger und Kevin Roose, 15.09.2022
Uber Investigating Breach of Its Computer Systems / The company said on Thursday that it was looking into the scope of the apparent hack
Aktuelles, Experten - Sep 13, 2024 0:52 - noch keine Kommentare
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
weitere Beiträge in Experten
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
- BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens
Aktuelles, Branche - Sep 14, 2024 0:17 - noch keine Kommentare
SANS Institute gibt eBook zur Cloud-Sicherheit heraus
weitere Beiträge in Branche
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
- NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren