Beweggrund für den Angriff soll die schlechte Entlohnung von Fahrern sein.

Foto: AFP / Robyn Beck

Der Fahrtendienstleister Uber kämpft offenbar mit einem schwerwiegenden Cyberangriff auf seine internen Systeme. Der Angreifer soll unter anderem Zugang zu E-Mails, zum Cloudspeicher und zu den Quellcode-Repositories erlangt haben. Das belegen Screenshots, die der "New York Times" und mehreren Sicherheitsforschern vorliegen. Der Beweggrund für die Attacke? Die schlechte Bezahlung der Uber-Fahrer, behauptet der mutmaßliche Täter.

Der Vorfall wird derzeit untersucht, in der Zwischenzeit hat das betroffene Unternehmen laut der US-Zeitung mehrere der intern verwendeten Kommunikationstools vom Netz genommen. Auch die Strafverfolgungsbehörden wurden eingeschaltet. Zwar sind die Folgen derzeit schwierig abzuschätzen, sie könnten jedoch weitreichend sein. "Sie haben praktisch vollen Zugang zu Uber", sagt zum Beispiel der Sicherheitsforscher Sam Curry gegenüber den Berichterstattern. Laut ihm sei das Unternehmen "vollständig kompromittiert".

Bekanntgabe per Messenger

Seinen Erfolg verkündete der Angreifer in einem Posting im Arbeitsmessenger Slack. "Ich gebe bekannt, dass ich ein Hacker bin und Uber eine Datenpanne erlitten hat", schrieb er dort Screenshots zufolge. Zutritt will er sich über Social Engineering verschafft haben. Er gab sich also als Uber-Mitarbeiter aus, um die notwendigen Zugangsdaten zu erlangen. Wer tatsächlich dahintersteckt, ist unbekannt. Gegenüber der "New York Times" behauptet der mutmaßliche Täter allerdings, dass er 18 Jahre alt sei und bereits seit Jahren an seinen Fähigkeiten im Bereich Cybersicherheit arbeite.

Um den ersten Vorfall dieser Art handelt es sich nicht. Schon 2016 hatte Uber mit einer Cyberattacke zu kämpfen, bei der die Daten von gut 57 Millionen Nutzerinnen und Fahrern erbeutet wurden. Die Angreifer verlangten damals 100.000 Dollar Lösegeld – die das Unternehmen bezahlte, um den Vorfall zu verschweigen. Erfolglos, wie sich herausstellte. 2018 wurde Uber von den Datenschutzbehörden in Großbritannien und den Niederlanden zu einem Bußgeld in Höhe von einer Million Euro verurteilt. (mick, 16.9.2022)