Hacker erbeuten 57 Millionen Kundendaten von Uber – ein Kommentar von Terry Ray, CTO von Imperva:
Wie den Berichten zu entnehmen ist, war der Hackerangriff auf Uber nicht weiter raffiniert – die Online-Diebe brachen einfach in zwei Accounts von Uber-Technikern auf Github ein, wo sie die Passwörter zu einem Online-Speicher fanden, in dem die personenbezogenen Daten offenbar abgelegt waren.
Das Ganze wirkt wie ein Paradebeispiel für „gut gedacht, schlecht gemacht“. Eine Online-Plattform für Kollaborations- und Programmierzwecke zu nutzen ist nicht unbedingt falsch, und es ist vielleicht nicht einmal ungewöhnlich, dass Konten auf solchen Plattformen gehackt werden. Das Problem beginnt bei der Frage, warum Live-Daten aus dem Produktivbetrieb auf einer Online-Plattform verwendet wurden und die Zugangsdaten auf Github verfügbar waren.
Leider kommt es allzu häufig vor, dass Entwickler Live-Daten aus dem Produktivbetrieb kopieren dürfen, um sie zur Entwicklung, zum Testen und zur Qualitätssicherung zu verwenden. Diese Daten werden so gut wie nie überwacht oder abgesichert, und wie man hier wieder einmal sehen kann, werden sie häufig an verschiedenen Orten gespeichert und sind Übeltätern oft leicht zugänglich.
Zu den Fragen, die hier geklärt werden müssen, gehört: Warum hatten die Techniker Zugriff auf 57 Millionen Datensätze mit personenbezogenen Informationen? Haben die Techniker einen Genehmigungsprozess durchlaufen, bevor sie die Daten online einstellten? Verfügt das Sicherheitsteam von Uber über irgendwelche Überwachungssysteme, die Alarm schlagen, wenn auf eine so riesige Datenmenge zugegriffen wird? Es existieren sehr wohl Kontrollen, die auf verdächtige Datenzugriffe aufmerksam machen, doch ich vermute, dass sie nicht genutzt wurden, was in Unternehmen heute sehr oft der Fall ist.
Es gibt seit mehr als einem Jahrzehnt Lösungen zur Datenmaskierung, die Produktivdaten in „produktionsähnliche“ Daten verwandeln, die zu Entwicklungs- und Testzwecken genutzt werden können. Damit werden derartige Risiken vollständig ausgeräumt. Manche denken jedoch nicht an solche Best-Practices oder auch nur an grundlegende Sicherheitspraktiken, bevor sie nach personenbezogenen Daten fragen und diese verwenden. Wie viele Berichte anmerken, steht Uber damit keineswegs allein da – dass gerade diese Datenpanne so hohe Wellen schlägt, liegt einfach an der Menge der gestohlenen Daten und an der Art und Weise, wie Uber mit dem Vorfall umgegangen ist.
Im Digitalzeitalter ist es an der Tagesordnung, dass zahlreiche Mitarbeiter und Geschäftspartner Zugriff auf einen großen Teil der Unternehmensdaten benötigen, um einfach ihrer Arbeit nachzugehen. Das macht die Kontrolle der Datenzugriffe zu einer der schwierigsten Aufgaben der Sicherheitsteams.
Das Resultat wird höchstwahrscheinlich sein, dass sich schon nächste Woche die nächste Sicherheitspanne ereignet.
#Netzpalaver #Imperva
#Datenrechtsverletzung bei #Uber! Das Unternehmen verschwieg den Diebstahl von 57 Millionen #Kundendaten und zahlte den Hackern heimlich 100.000 Dollar! #DSGVO #ITSicherheit #Kundenvertrauen https://t.co/acgxokqeW7
— Code Red Security PR (@codered_pr_de) 22. November 2017
