München, 23. November 2017 – Bei einem Daten-Hack auf den Fahrdienst Uber (https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwj0y93ioNTXAhXSKOwKHURWD7gQFgg0MAA&url=https%3A%2F%2Fwww.uber.com%2Fde%2F&usg=AOvVaw0_RWAoyvHc0EQghqGTyGjx) wurden über 600.000 persönliche Daten von über 57 Millionen Kunden und Fahrern kompromittiert. Der Angriff auf die User-Daten fand bereits 2016 statt. Anstatt den Vorfall den zuständigen Behörden zu melden und Kunden zu informieren, zahlte Uber ein Lösegeld von über 100.000 US-Dollar und versuchte den Datendiebstahl zu verheimlichen.
Noch ist nicht klar wie der Angriff im Detail ablief. Laut Uber (https://www.uber.com/newsroom/2016-data-incident/) konnten sich Hacker Zugriff auf den “privaten” Bereich von GitHub verschaffen. Der webbasierte Hosting-Dienst wird von den App-Entwicklern genutzt, um Kunden- und Fahrer-Daten zu speichern. Das macht eines von zwei Szenarien wahrscheinlich: Entweder war dieser “private” Bereich aus irgendeinem Grund alles andere als “privat”. Oder der Bereich befand sich direkt hinter den Login-Seiten von GitHub, wobei der Hosting-Dienst wahrscheinlich über Credential Stuffing oder Keylogging kompromittiert wurde.
Credential Stuffing nutzt die Gewohnheit vieler Anwender aus, ein und dieselben Zugangsdaten für mehrere Accounts zu verwenden. Ist der Angreifer erst einmal im Besitz solcher wiederkehrenden Logins (Mailadresse, Nutzername und Passwort), kann er diese Kombination nutzen, um auf andere Konten zuzugreifen. Beim Keylogging können schädliche Spyware-Programme die Tastaturanschläge an einem Rechner aufzeichnen, um an vertrauliche Daten wie Passwörter oder Finanzdaten zu gelangen.
“Wie auch immer die Angreifer vorgegangen sind, diese Art von Angriff hätte früher entdeckt werden müssen, noch ehe wichtige Daten extrahiert werden konnten. Im Fall Uber erfuhr man anscheinend erst etwas über den Datendiebstahl nachdem eine entsprechende Lösegeldforderung einging”, erklärt James Chappell, CTO und Mitgründer von Digital Shadows (http://www.digitalshadows.com/). “Wenn grundlegende Anmeldedaten gestohlen werden, liegt das auch am fehlenden Monitoring von digitalen Lösungen – insbesondere wenn es sich um Lösungen von Drittanbietern wie GitHub handelt. So hätten sensible IT-System-Logins überhaupt nicht erst innerhalb der Website gespeichert werden dürfen.”
Beunruhigend ist auch die Verheimlichungsstrategie von Uber. Zeit ist ein entscheidender Faktor bei einem Daten-Leak, um Kunden, Mitarbeiter und Geschäftspartner über mögliche Gefahren zu informieren und zu schützen. Werden sicherheitskritische Vorfälle verheimlicht, hat das nicht nur negative Auswirkungen auf Unternehmensreputation und Kundenvertrauen, sondern auch rechtliche Folgen. Mit der Datenschutz-Grundverordnung (DSGVO) wird sich die Lage hier weiter zuspitzen. Unternehmen in der EU als auch Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, sind dann verpflichtet Datenschutzverletzungen (z. B. Datendiebstahl) umgehend zu melden. Verstöße können teuer werden, mit Bußgeldern von bis zu zwanzig Millionen Euro oder vier Prozent des weltweiten Umsatzes pro Vorfall
Im Fall Uber wurden mittlerweile in mehreren Ländern Ermittlungen gegen den Mitfahrdienst eingeleitet, darunter USA, Großbritannien und Australien.
Firmenkontakt
Digital Shadows
Birgit Fuchs-Laine
Prinzregentenstraße 89
81675 München
089 41 77 61 13
digitalshadows@lucyturpin.com
https://www.digitalshadows.com/
Pressekontakt
Lucy Turpin Communications GmbH
Birgit Fuchs-Laine
Prinzregentenstrasse 89
81675 München
089 41776113
digitalshadows@lucyturpin.com
www.lucyturpin.com
Birgit Fuchs-Laine
Digital Shadows
digitalshadows@lucyturpin.com
https://www.digitalshadows.com