18-Jähriger hackt Uber, Mitarbeiter glauben, dass das ein Scherz ist

Witold Pryjda, 16.09.2022 18:38 Uhr 3 Kommentare
Uber ist mittlerweile auch in Deutschland regulär buchbar, spielt aber im Vergleich zum Taxi kaum eine Rolle. In den USA sieht es ganz anders aus, dort haben Uber und Konkurrent Lyft längst das Taxi abgelöst. Doch so bequem Uber auch ist - bei der Sicherheit hat man Nachholbedarf. Das lässt jedenfalls ein Vorfall vermuten, den die New York Times (NYT) heute aufgedeckt hat. Denn wie die renommierte US-Tageszeitung berichtet, wurde der Fahrdienstvermittler gestern zum Opfer eines massiven Hackerangriffs. Daraufhin musste Uber diverse Systeme deaktivieren, um das Ausmaß abschätzen zu können.

Verantwortlich dafür waren aber keine kriminelle Organisation oder sonstige Datendiebe, sondern ein 18-Jähriger, der eigenen Angaben nach auf Schwachstellen aufmerksam machen wollte. Denn als Beweis für seinen Hack lieferte er Bilder von E-Mails, Cloud-Speichern und Code-Repositories.


Das Ausmaß war und ist gewaltig, wie der Sicherheitsexperte Sam Curry gegenüber der NYT zu Protokoll gab: "(Die Person) hat so gut wie uneingeschränkten Zugang zu Uber. Allem Anschein nach handelt es sich um eine totale Sicherheitslücke."

Hacker meldete sich per Slack

Dabei ist vor allem das Wie der Attacke bemerkenswert und teilweise auch extrem peinlich. Denn der Angreifer meldete sich selbst im Unternehmens-Messenger Slack zu Wort und schrieb dort: "Ich gebe bekannt, dass ich ein Hacker bin und dass Uber einen unbefugten Datenzugriff erlitten hat." Er listete daraufhin auf, woraus er sich Zugriff verschafft hat. Das Problem: die Uber-Mitarbeiter hielten das für einen Scherz und überschwemmten den Beitrag mit diversen lachenden Emojis.

Laut dem Hacker, der eigenen Angaben 18 Jahre alt ist und aufzeigen wollte, was für eine schwache Sicherheit Uber habe, konnte er per Social Engineering an Login-Daten kommen. Er kontaktierte einen Uber-Angestellten per Textnachricht und gab sich als IT-Mitarbeiter aus. Er konnte ihn überzeugen, die Login-Daten herauszugeben - damit konnte er sich einloggen, eine Zwei-Faktor-Verifizierung für die internen Systeme bestand offenbar nicht.
3 Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies