Kommentar von Venafi

Lehren aus dem Uber-Hack

23. November 2017, 9:41 Uhr | Axel Pomper | Kommentar(e)
A_Hacker
© Bachmann Electronic

Uber hat einen Sicherheitsvorfall vom Oktober 2016 verschwiegen, bei dem 57 Millionen Nutzerdaten in die falschen Hände gelangt sind, sowohl die eigenen Fahrer als auch Kunden sind davon betroffen. Interessant ist, dass Uber ein Schweigegeld an den Angreifer gezahlt hat.

Angeblich sind keine Kreditkarteninformationen betroffen. Stattdessen wurden E-Mailadressen, Telefonnummern und die Namen der Betroffenen erbeutet. Unter den Datensätzen befinden sich auch 600.000 Führerscheinnummern von Uber-Fahrern. Interessant ist an dem Fall, dass Uber ein Schweigegeld von 100.000 US-Dollar an den Angreifer gezahlt hat, um den Datenverlust unter Verschluss zu halten. Daran ist interessant, dass der Fahrdienstleister den Sicherheitsvorfall hätte melden müssen und nun Probleme mit den zuständigen US-Behörden bekommen wird. Die US-Behörden nehmen das Unternehmen und seine IT-Sicherheitsmaßnahmen seit einem ähnlichen Vorfall im Jahr 2014 genauer unter die Lupe.

Natürlich hätte das Unternehmen sofort alle Betroffenen und die zuständigen Behörden über den Vorfall informieren müssen, nicht nur um den Reputationsschaden gering zu halten, sondern auch um der eigenen Informationspflicht und Verantwortung gerecht zu werden.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
Kevin Bocek, Vice President Security Strategy & Threat Intelligence bei Venafi
Kevin Bocek, Vice President Security Strategy & Threat Intelligence bei Venafi
© Venafi

Der Sicherheitsvorfall bei Uber ist ein weiteres Beispiel dafür, wie ungeschützte maschinelle Identitäten solche Vorfälle ermöglichen. Zugänge zu Cloud-Diensten wie Amazon AWS, werden mit SSH-Schlüsseln geschützt, die zumeist nicht von den Security-Teams kontrolliert werden. Unglücklicherweise sehen wir immer öfter, dass SSH-Schlüssel, die Zugang zu AWS gewähren, ungeschützt bei GitHub liegen. Ohne SSH-Intelligenz und starke Sicherheitskontrollmechanismen können Cyberkriminelle und andere Akteure diese Schlüssel ausnutzen, um unter dem Radar der meisten Sicherheitskontrollen zu fliegen. Schwacher Schutz der SSH-Schlüssel ist vergleichbar mit einer Flotte von Uber-Autos, die außer Kontrolle geraten sind, niemand kann sie aufhalten.

Alle maschinellen Identitäten wie SSH-Schlüssel sollten von der IT-Sicherheitsabteilung zentral verwaltet werden und nicht auf GitHub abgelegt werden. Leider ist Uber kein Einzelfall. Unautorisierte Zugriffe auf AWS über auf GitHub verwaltete maschinelle Identitäten passieren fast täglich. Darüber hinaus müssen die zuständigen IT-Experten einen Überblick darüber haben, welche maschinellen Identitäten wie digitale Zertifikate und kryptographische Schlüssel sie im Unternehmen an welcher Stelle einsetzen und wann diese erneuert werden müssen. Nur dann lassen sich Vorfälle wie bei Uber verhindern.

Kevin Bocek, Vice President Security Strategy & Threat Intelligence bei Venafi


Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Anbieterkompass