Das Ausmaß war und ist gewaltig, wie der Sicherheitsexperte Sam Curry gegenüber der NYT zu Protokoll gab: "(Die Person) hat so gut wie uneingeschränkten Zugang zu Uber. Allem Anschein nach handelt es sich um eine totale Sicherheitslücke."
Hacker meldete sich per Slack
Dabei ist vor allem das Wie der Attacke bemerkenswert und teilweise auch extrem peinlich. Denn der Angreifer meldete sich selbst im Unternehmens-Messenger Slack zu Wort und schrieb dort: "Ich gebe bekannt, dass ich ein Hacker bin und dass Uber einen unbefugten Datenzugriff erlitten hat." Er listete daraufhin auf, woraus er sich Zugriff verschafft hat. Das Problem: die Uber-Mitarbeiter hielten das für einen Scherz und überschwemmten den Beitrag mit diversen lachenden Emojis.Laut dem Hacker, der eigenen Angaben 18 Jahre alt ist und aufzeigen wollte, was für eine schwache Sicherheit Uber habe, konnte er per Social Engineering an Login-Daten kommen. Er kontaktierte einen Uber-Angestellten per Textnachricht und gab sich als IT-Mitarbeiter aus. Er konnte ihn überzeugen, die Login-Daten herauszugeben - damit konnte er sich einloggen, eine Zwei-Faktor-Verifizierung für die internen Systeme bestand offenbar nicht.