Kommentare von Check Point und Tanium

Angeblich hat der Angreifer Zugriff auf alle internen Systeme des Vermittlungsdienstleisters, nachdem es ihm gelungen ist, die Zugangsdaten eines Mitarbeiters abzugreifen.

Deryck Mitchelson, Field CISO EMEA bei Check Point Software Technologies GmbH , bezieht Stellung und ordnet die Cyberattacke ein: „Es scheint, dass ein groß angelegter Social-Engineering-Angriff Uber erheblich beeinträchtigt hat. Dies geschieht eine Woche, nachdem der ehemalige Sicherheitschef von Uber in den USA vor Gericht steht und sich mit der Frage auseinandersetzen muss, ob Uber eine Sicherheitslücke aus dem Jahr 2016, von der 57 Millionen Nutzer betroffen waren, ordnungsgemäß offengelegt hat. Dies ist ein interessanter Prozess, der für die Sicherheitsbehörden einschneidend sein könnte.“

Mitchelson weiter: „Social Engineering ist etwas, das wir zunehmend häufiger beobachten. Dabei nutzen Hacker online und offline eine Vielzahl von Möglichkeiten, um Nutzer zu manipulieren, damit sie bestimmte Aktionen durchführen oder vertrauliche Informationen wie etwa Fernzugangsdaten, preisgeben. Es gibt Lösungen, die aktiv gegen ausgeklügelte Social Engineering- und Phishing-Techniken wie diese schützen können, aber es ist auch absolut wichtig, dass sich Unternehmen die Zeit nehmen, ihre Mitarbeiter über die Bedrohung aufzuklären.“

Chris Vaughan, AVP of Technical Account Management, EMEA bei Tanium

Große Unternehmen wie Uber sind wertvolle Ziele für Cyberangriffe, da sie über eine große Menge an sensiblen Kundendaten verfügen, die Hacker zu Geld machen können. Obwohl es noch nicht bestätigt wurde, ist die Wahrscheinlichkeit groß, dass die Hacker Infomationen wie Kreditkartendaten und Gehaltsabrechnungen abgegriffen haben. Nach ersten Analysen sieht es so aus, als ob sowohl die Daten der Fahrer als auch die der Kunden kompromittiert worden sind.

Der Angriff auf Uber ist ein weiteres Beispiel für einen relativ einfachen Angriff, der zu einem großen Vorfall wurde und zu einem potenziell enormen Imageschaden für das betroffene Unternehmen führen kann. Der Angreifer verschaffte sich durch Social Engineering eines Mitarbeiters über ein VPN Zugang zum Netzwerk. Nach dem Eindringen konnten sie in Skripten kodierte Passwörter finden und diese dann verwenden, um in verschiedene Teile des Netzwerks einzudringen. Dazu gehörte auch der Zugriff auf die Verwaltungs-Tools sowie auf mehrere Datenbanken. Dies wirft natürlich einige Fragen auf. Zum einen wurde ein einziges fest codiertes Kennwort für den Zugriff auf das PAM-System (Privileged Access Management) verwendet, das Zugang zu allen Bereichen der IT-Umgebung gewährt, die damit verbunden sind. Ein weiteres Problem ist, dass für das VPN offenbar keine Zwei-Faktor-Authentifizierung verwendet wurde, denn sonst hätten die Anmeldedaten allein keinen Zugang gewährt. Es kann besonders gefährlich sein, wenn Angreifer mit einem solchen gültigen Passwort in ein Netzwerk eindringen, da es dadurch schwierig ist, ihre Bewegungen von legitimen Benutzeraktivitäten zu unterscheiden.

Dies sollte als Erinnerung daran dienen, dass ein hohes Maß an Cyber-Hygiene dazu beitragen kann, dass solche einfacheren Angriffsmethoden nicht erfolgreich sind. Im Rahmen dieser Bemühungen müssen IT-Teams jederzeit wissen, wo sich ihre sensibelsten Daten befinden, um sie wirksam schützen zu können. Eine vollständige Transparenz des Unternehmensnetzwerks ist ebenfalls von entscheidender Bedeutung, um Geräte zu identifizieren, die möglicherweise kompromittiert wurden, und diese dann schnell zu reparieren.