Angriff auf Uber wirft sicherheitstechnische und rechtliche Fragen auf

Illustration: Freestocks-Photos Absmeier

Bei einem Daten-Hack auf den amerikanischen Fahrdienst Uber wurden über 600.000 persönliche Daten von über 57 Millionen Kunden und Fahrern kompromittiert. Der Angriff auf die User-Daten fand bereits 2016 statt. Anstatt den Vorfall den zuständigen Behörden zu melden und Kunden zu informieren, zahlte Uber ein Lösegeld von über 100.000 US-Dollar und versuchte den Datendiebstahl zu verheimlichen.

Noch ist nicht klar wie der Angriff im Detail ablief. Laut Uber konnten sich Hacker Zugriff auf den »privaten« Bereich von GitHub verschaffen. Der webbasierte Hosting-Dienst wird von den App-Entwicklern genutzt, um Kunden- und Fahrerdaten zu speichern. Das macht eines von zwei Szenarien wahrscheinlich: Entweder war dieser »private« Bereich aus irgendeinem Grund alles andere als »privat«. Oder der Bereich befand sich direkt hinter den Login-Seiten von GitHub, wobei der Hosting-Dienst wahrscheinlich über Credential Stuffing oder Keylogging kompromittiert wurde.

Credential Stuffing nutzt die Gewohnheit vieler Anwender aus, ein und dieselben Zugangsdaten für mehrere Accounts zu verwenden. Ist der Angreifer erst einmal im Besitz solcher wiederkehrenden Logins (Mailadresse, Nutzername und Passwort), kann er diese Kombination nutzen, um auf andere Konten zuzugreifen.

Beim Keylogging können schädliche Spyware-Programme die Tastaturanschläge an einem Rechner aufzeichnen, um an vertrauliche Daten wie Passwörter oder Finanzdaten zu gelangen.

»Wie auch immer die Angreifer vorgegangen sind, diese Art von Angriff hätte früher entdeckt werden müssen, noch ehe wichtige Daten extrahiert werden konnten. Im Fall Uber erfuhr man anscheinend erst etwas über den Datendiebstahl nachdem eine entsprechende Lösegeldforderung einging«, erklärt James Chappell, CTO und Mitgründer von Digital Shadows. »Wenn grundlegende Anmeldedaten gestohlen werden, liegt das auch am fehlenden Monitoring von digitalen Lösungen – insbesondere wenn es sich um Lösungen von Drittanbietern wie GitHub handelt. So hätten sensible IT-System-Logins überhaupt nicht erst innerhalb der Website gespeichert werden dürfen.«

Beunruhigend ist auch die Kommunikation von Uber. Zeit ist ein entscheidender Faktor bei einem Daten-Leak, um Kunden, Mitarbeiter und Geschäftspartner über mögliche Gefahren zu informieren und zu schützen. Werden sicherheitskritische Vorfälle verheimlicht, hat das nicht nur negative Auswirkungen auf Unternehmensreputation und Kundenvertrauen, sondern auch rechtliche Folgen. Mit der Datenschutz-Grundverordnung (DSGVO) wird sich die Lage hier weiter zuspitzen. Unternehmen in der EU als auch Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, sind dann verpflichtet Datenschutzverletzungen (z. B. Datendiebstahl) umgehend zu melden. Verstöße können teuer werden, mit Bußgeldern von bis zu zwanzig Millionen Euro oder vier Prozent des weltweiten Umsatzes pro Vorfall

Im Fall Uber wurden mittlerweile in mehreren Ländern Ermittlungen gegen den Mitfahrdienst eingeleitet, darunter USA, Großbritannien und Australien.

 


 

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu 57 Millionen Daten von Kunden und Fahrern gestohlen wurden. Um den Hack geheim zu halten, zahlte Uber den Hackern 100.000 $.

Der Dienstleister für Personenbeförderung speichert im Rahmen der App-Nutzung etliche Informationen seiner Kunden und Fahrer. Hierzu gehören vollständige Namen, Kreditkarteninformationen, Adressen, Kfz-Kennzeichen und Telefonnummern. Wie sich herausstellte, wurden im Oktober 2016 über 57 Millionen Kunden- und Fahrerdaten von Hackern gestohlen, woraufhin Uber kurzerhand 100.000 $ an die Cyberangreifer zahlte, um den Hack geheim zu halten.

Obwohl Uber sich darüber bewusst war, dass ein solcher Hack unverzüglich den Regulierungsbehörden und allen Betroffenen berichtet werden muss, entschied sich das Unternehmen im Oktober 2016 den Hack vorerst geheim zu halten und das von den Hackern geforderte Geld zu zahlen. In einem offiziellen E-Mail-Statement von Dara Khosrowshahi (der neue Chief Executive von Uber) erklärt Uber, dass es keine Entschuldigung für das eigene Fehlverhalten bezüglich des Hacks gebe und das Unternehmen zukünftig einiges anders machen wird.

Vincent Weafer von McAfee dazu: »Der Hack fand bereits 2016 statt und Uber versuchte den Vorfall durch das Zahlen der geforderten Geldsumme der Hacker unter den Tisch zu kehren, sodass der Datendiebstahl nicht an die Öffentlichkeit gelangte. Allerdings gibt es rechtliche Vorschriften, Hacks dieser Art, vor allem wenn es sich um den Diebstahl von Daten privater Personen handelt, den entsprechenden Behörden und allen Betroffenen zu melden. Es ist nicht das erste Mal, dass Informationen dieser Art zu spät veröffentlicht wurden. Organisationen müssen lernen Vorfälle dieser Art rechtzeitig zu melden.«

Der Uber-Hack ist ein weiteres Beispiel einer massiven Verletzung von Datensicherheit wie sie in der Industrie immer häufiger vorkommen. Die Hacker gelangten an persönliche Daten wie E-Mail-Adressen, die Adressen der Fahrer und sonstige Kontaktinformationen, die wiederum dazu benutzt werden können, zukünftige Hacks gezielt auf Individuen und Organisationen abzustimmen und durchzuführen.

Wie sich herausgestellt hat, verfügten die Angreifer über Login-Daten für Github, welche den Login-Daten der eigenen Datenbank von Uber wiederum sehr ähneln und konnten sich somit Zugang zu allen gespeicherten Informationen verschaffen. Hacker benutzen vermehrt Zugangsinformationen dieser Art, um sich in Datenbanken von Unternehmen einzuhacken und sich dort anschließend unbemerkt zu bewegen.

Hacker zu bezahlen, damit sie schweigen, ist keine übliche Taktik. Bisher wurde darüber kaum gesprochen, da Unternehmen es natürlich vermeiden, entsprechende Umstände an die Öffentlichkeit zu kommunizieren. Weitaus bekannter ist das Phänomen Ransomware: Hacker blocken mithilfe von sogenannten Erpressungstrojanern den Zugriff auf das eigene Computersystem. Allerdings ist auch hier bekannt, dass Unternehmen, die den Cyberkriminellen das geforderte Lösegeld zahlen, nicht zwangsläufig wieder den vollständigen Zugang zu den eigenen Daten bekommen. Denn hier muss man sich auf die Integrität von Kriminellen verlassen, was letztendlich ein Widerspruch in sich selbst ist.

Weitere Informationen entnehmen Sie bitte dem folgenden Blog: https://securingtomorrow.mcafee.com/consumer/uber-data-breach-consumers-need-know/

 


 

Genau für diese Fälle wurde die DSGVO gemacht

 

Lange verschwiegener Daten-Diebstahl bei Uber – Kommentar von Thomas Ehrlich, Country Manager DACH von Varonis.

Bereits 2016 entwendeten Hacker Daten von 57 Millionen Fahrgästen und Fahrern des Fahrdienst-Vermittlers Uber. Das ohnehin nicht unumstrittene Unternehmen machte dabei so gut wie alles falsch, was man falsch machen kann: Neben offensichtlichen gravierenden Sicherheitsmängeln, die den Datendiebstahl in diesem Ausmaß erst möglich gemacht haben, bezahlte Uber, anstatt Behörden, Betroffene und die Öffentlichkeit zu informieren, den Kriminellen 100.000 US-Dollar, damit sie diese Daten vernichten (selbstverständlich ohne die geringste Gewähr zu haben, ob dies tatsächlich erfolgte).

Solange Unternehmen bei Verstößen dieser Art mit relativ geringen Strafen davonkommen (Uber zahlte bereits 2014 für ein Vergehen die Summe von 20.000 US-Dollar an den Staat New York) ist zu befürchten, dass sie ihre teilweise laxen Sicherheitsmaßnahmen und vor allem ihren Umgang mit Datenschutzvergehen nicht verbessern. Dies ist auch genau der Punkt, weshalb man sich auf die Einführung der DSGVO im nächsten Mai freuen sollte. Allein durch die Nichteinhaltung der 72-stündigen Meldefrist hätte die EU eine Strafe von 2 Prozent des weltweiten Konzernumsatzes verhängen können, also 130 Millionen Dollar! Diese Strafe könnte aufgrund weiterer Faktoren, etwa wenn die Sicherheit nicht dem aktuellen Stand der Technik entspricht, um weitere 2 Prozent auf insgesamt 260 Millionen Dollar erhöht werden. Dies schmerzt sicherlich mehr als die erwähnten 20.000 Dollar.

Es spricht nach dem derzeitigen Kenntnisstand auch einiges dafür, dass die Sicherheitspraxis des Unternehmens gelinde gesagt mangelhaft ist oder war. Offensichtlich reichte ein Single Point of Failure, um diese gewaltige Anzahl an Daten zu stehlen, indem ein einziges GitHub-Passwort in die falschen Hände fiel. Dies wirft einige Fragen auf: Wie kann es sein, dass ein einziger Mitarbeiter Zugriff auf so viele höchst sensiblen Daten hat? Werden Maßnahmen wie 2-Faktoren-Authentifizierung bei der Nutzung von Schlüssel-Anwendungen wie GitHub ergriffen?

Kompromittiere Zugangsinformationen sind der Ausgangspunkt zahlreicher Angriffe und Datendiebstähle. Deshalb müssen Unternehmen alles daran setzen, dass ein gehacktes Nutzerkonto keinen dermaßen großen Schaden anrichten kann. Hierbei spielen sichere Authentifizierungen, restriktive Zugriffsrechte nach dem Need-to-know-Prinzip und die intelligente Überwachung der Nutzeraktivitäten eine entscheidende Rolle. Ergreifen Unternehmen diese und ähnliche Maßnahmen nicht und verschweigen überdies erfolgreiche Angriffe, wird dies für sie ab Mai in Europa teuer. Und zwar zu Recht.


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Sicher und verschlüsselt durch die digitale Welt: ISÆN schützt persönliche Daten im Internet

Große Probleme für Unternehmen wenn persönliche Daten der Kunden gehackt werden

Der Schutz der persönlichen Daten

35 Millionen geraubte Identitätsdaten: Jeder kann persönliche Betroffenheit prüfen

Nur jeder Fünfte hält seine Daten im Netz für sicher

Deutsche behalten persönliche Daten lieber für sich

Immer mehr Menschen geben persönliche Daten (sorglos) preis

Weitere Artikel zu