IT-Sicherheit:Uber böse gehackt

Uber-Logo an einem Gebäude

Uber wurde schon mal gehackt, hielt den Vorgang damals aber mehr als ein Jahr lang geheim.

(Foto: Jeff Chiu/AP)

Der Angreifer ist wohl erst 18 Jahre alt, hatte Zugriff auf viele interne Daten - und schrieb den Mitarbeitern dann noch direkt in ihren Slack-Kanal. Die Folgen für Uber könnten dramatisch sein.

Von Helmut Martin-Jung

Konnte das wahr sein? "Ich gebe hiermit bekannt, dass ich ein Hacker bin und dass Uber ein Datenleck hat." Die Mitarbeiter des Fahrdienstanbieters Uber mit Sitz in San Francisco, Kalifornien, die diese Nachricht in Slack lasen, ihrer Kommunikations-Software, glaubten an einen Scherz. Via Slack juxten sie noch mit dem Autor herum. In der Sicherheitsabteilung herrschte zu dieser Zeit schon Alarmstufe Rot. Slack solle nicht mehr benutzt werden, warnten die Administratoren, schließlich schalteten sie es ab.

Da war es natürlich längst zu spät. Als die Slack-Nachricht an die gesamte Belegschaft abgesetzt wurde, hatte der Hacker bereits Zugriff auf das, was man unter Sicherheitsexperten gerne "die Kronjuwelen" nennt, also die wichtigsten internen Informationen. Sicherheitsforschern und der New York Times hatte er Bildschirmfotos von E-Mails, gespeicherten Daten in der Cloud und von code repositories geschickt, also Systemen, auf denen der Quellcode von Software gespeichert und verwaltet wird.

Der Times teilte der Angreifer mit, er sei 18 Jahre alt und beschäftige sich schon seit einigen Jahren mit dem Hacken. Besonders schwierig scheint es allerdings nicht gewesen zu sein, in die internen Systeme von Uber einzudringen. Der Angreifer schrieb eine Textnachricht an einen Uber-Mitarbeiter und gab sich als interner IT-Mitarbeiter aus. Er überredete ihn, ihm ein Passwort zu geben, das ihm den Zugang zu Ubers internem Netzwerk gewährte.

Dort wartete eine Art Lottogewinn auf ihn: Auf einem Netzwerklaufwerk fand er eine Datei mit Passwörtern für viele weitere Uber-Systeme, darunter auch auf die Server, die das Unternehmen beim Cloudanbieter Amazon gemietet hat, und auf die Steuerzentrale für Sicherheitssoftware. "Die haben Zugriff auf so ziemlich alles", bilanziert der Sicherheitsexperte Sam Curry von der Sicherheitsfirma Yuga Labs. "So, wie das aussieht, ist alles kompromittiert."

Uber hat den Vorfall inzwischen eingeräumt, hält sich mit Details allerdings zurück. Man untersuche derzeit einen Sicherheitsvorfall und habe die Ermittlungsbehörden eingeschaltet. Sobald es Neues gebe, werde man es bekannt geben. Das ist wenig, aber besser als 2016, als Hacker die Daten der Konten von 57 Millionen Fahrern und Fahrgästen erbeuteten. Uber zahlte die geforderten 100 000 Dollar, hielt den Vorfall aber mehr als ein Jahr geheim.

Die große Frage ist, was nun passiert. Der Fall erinnert zwar an einen ganz ähnlichen Angriff auf Twitter, bei dem ein junger Hacker praktisch vollen Zugriff auf den Kurznachrichtendienst hatte und alles Mögliche hätte anrichten können. Es blieb allerdings bei einigen Scherzen. Auch der aktuelle Fall könnte glimpflich ablaufen. Der Hacker forderte Uber dazu auf, seinen Fahrern mehr Geld zu bezahlen. Dass er Forderungen für sich gestellt hätte, davon ist nicht die Rede. Noch aber ist zu vieles unklar und die Sache könnte für Uber noch sehr, sehr unangenehm und vor allem teuer werden. Allein die Systeme nun wieder abzusichern, wird Millionen kosten.

Zur SZ-Startseite

SZ PlusExklusivOutdoor-Unternehmen
:Warum der Patagonia-Gründer seine Firma verschenken will

Der Hersteller von Outdoor-Kleidung verklagte mal Ex-Präsident Donald Trump, zahlt freiwillig eine Umweltsteuer und ruft Menschen dazu auf, weniger zu konsumieren. Nun kündigt er an, alles verfügbare Geld für den Klimaschutz ausgeben zu wollen.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: