Uber macht Lapsus$-Gruppe für Hackerangriff verantwortlich
Zugang zu Uber-Systemen erhält Lapsus$ über ein gehacktes Konto eines Lieferanten. Möglicherweise stammt das fragliche Passwort sogar aus dem Dark Web. Zugang erhalten die Hacker zu internen Systemen von Uber wie G-Suite und Slack.
Uber hat weitere Details zu dem in der vergangenen Woche gemeldeten Hackerangriff veröffentlicht. Einem Blogeintrag zufolge geht der Einbruch in die Systeme des Fahrdienstleisters auf das Konto der südamerikanischen Gruppe Lapsus$, die auch für Einbrüche bei Microsoft und Samsung verantwortlich sein soll. Zudem teilte das Unternehmen mit, es arbeite in der Sache eng mit der Bundespolizei FBI und der US-Justiz zusammen.
Den Angreifern sei es zwar gelungen, in mehrere interne Systeme einzudringen, nicht aber in Systeme mit Nutzerkonten oder Datenbanken mit persönlichen Informationen wie Kreditkartendaten, so Uber weiter. Auch gebe es keine Hinweise auf Zugriffe auf Kunden- oder Nutzerdaten, die bei Cloud-Anbietern gespeichert seien.
Erbeutet haben die Hacker demnach einige interne Nachrichten sowie Daten eines internen Finanzteams. Darüber hinaus wurde Ubers Dashboard bei HackerOne kompromittiert, wo Sicherheitsforscher Bugs und Sicherheitslücken melden können. Alle Fehlerberichte, auf die die Angreifer Zugriff hatten, seien inzwischen abgearbeitet worden.
Lapsus$ trickst auch Zwei-Faktor-Authentifizierung aus
Darüber hinaus stellte Uber klar, dass sich Lapsus$ über die Anmeldedaten eines Lieferanten Zugang zu seinen Systemen verschaffte. Wahrscheinlich habe die Hackergruppe das Passwort im Dark Web gekauft, nachdem ein persönliches Gerät des Lieferanten mit Schadsoftware infiziert worden sei.
Auch seien die Anmeldeversuche mit den gestohlen Login-Daten zunächst an einer Zwei-Faktor-Authentifizierung gescheitert. Irgendwann habe der Lieferant jedoch die Anfrage für die Anmeldung akzeptiert, was dem Angreifer Zugang zu internen Tools von Uber wie Google G-Suite und Slack verschafft habe.