Lehren aus dem Uber-Hack – ein Kommentar von Kevin Bocek, Vice President Security Strategy & Threat Intelligence bei Venafi.
Uber hat einen Sicherheitsvorfall vom Oktober 2016 verschwiegen, bei dem 57 Millionen Nutzerdaten in die falschen Hände gelangt sind, sowohl die eigenen Fahrer als auch Kunden sind davon betroffen. Angeblich sind keine Kreditkarteninformationen betroffen. Stattdessen wurden E-Mailadressen, Telefonnummern und die Namen der Betroffenen erbeutet. Unter den Datensätzen befinden sich auch 600.000 Führerscheinnummern von Uber-Fahrern. Interessant ist an dem Fall, dass Uber ein Schweigegeld von 100.000 US-Dollar an den Angreifer gezahlt hat, um den Datenverlust unter Verschluss zu halten. Daran ist interessant, dass der Fahrdienstleister den Sicherheitsvorfall hätte melden müssen und nun Probleme mit den zuständigen US-Behörden bekommen wird. Die US-Behörden nehmen das Unternehmen und seine IT-Sicherheitsmaßnahmen seit einem ähnlichen Vorfall im Jahr 2014 genauer unter die Lupe.
Natürlich hätte das Unternehmen sofort alle Betroffenen und die zuständigen Behörden über den Vorfall informieren müssen, nicht nur um den Reputationsschaden gering zu halten, sondern auch um der eigenen Informationspflicht und Verantwortung gerecht zu werden.
Der Sicherheitsvorfall bei Uber ist ein weiteres Beispiel dafür, wie ungeschützte maschinelle Identitäten solche Vorfälle ermöglichen. Zugänge zu Cloud-Diensten wie Amazon AWS, werden mit SSH-Schlüsseln geschützt, die zumeist nicht von den Security-Teams kontrolliert werden. Unglücklicherweise sehen wir immer öfter, dass SSH-Schlüssel, die Zugang zu AWS gewähren, ungeschützt bei GitHub liegen. Ohne SSH-Intelligenz und starke Sicherheitskontrollmechanismen können Cyberkriminelle und andere Akteure diese Schlüssel ausnutzen, um unter dem Radar der meisten Sicherheitskontrollen zu fliegen. Schwacher Schutz der SSH-Schlüssel ist vergleichbar mit einer Flotte von Uber-Autos, die außer Kontrolle geraten sind, niemand kann sie aufhalten.
Alle maschinellen Identitäten wie SSH-Schlüssel sollten von der IT-Sicherheitsabteilung zentral verwaltet werden und nicht auf GitHub abgelegt werden. Leider ist Uber kein Einzelfall. Unautorisierte Zugriffe auf AWS über auf GitHub verwaltete maschinelle Identitäten passieren fast täglich. Darüber hinaus müssen die zuständigen IT-Experten einen Überblick darüber haben, welche maschinellen Identitäten wie digitale Zertifikate und kryptographische Schlüssel sie im Unternehmen an welcher Stelle einsetzen und wann diese erneuert werden müssen. Nur dann lassen sich Vorfälle wie bei Uber verhindern.
#Netzpalaver #Venafi
