Uber traut sich nicht mehr, Github zu benützen

Ende 2016 wurden Uber bei einem Hack Daten von rund 57 Millionen Kunden und Fahrern gestohlen. Das Unternehmen gab dies allerdings erst ein Jahr später bekannt. Dabei räumte es auch ein, das eigene Bug-Bounty-Programm benützt zu haben, um die Hacker mit einer Zahlung von 100'000 Dollar zum Schweigen zu bringen. Eigentlich ist dieses Programm dazu gedacht, gutwillige Hacker zu belohnen, die Sicherheitslücken melden, ohne sie auszunützen.
 
Bereits bekannt war, dass die Daten aus einem AWS-Storage-Pool stammten, den Uber verwendete. Aus einer nun veröffentlichten Aussage von Ubers Chief Security Officer John Flynn (PDF) vor einem Ausschuss des US-Senats geht einiges mehr über die Vorgänge hervor. Unter anderem, dass Uber-Mitarbeitende Zugangsdaten für AWS auf der Entwickler-Kollaborationsplattform Github gespeichert hatten. Der Hacker konnte sie von dort abgreifen.
 
Details dazu, wie sich der Angreifer Zugang zum Github-Konto von Uber verschaffen konnte, nannte auch Flynn nicht. Er erwähnte aber, dass Uber es vorher versäumt hatte, für den Github-Zugriff die Zwei-Faktor-Authentifizierung zu aktivieren.
 
Dies habe man, nachdem man den Vorgang analysiert hatte, sofort korrigiert. Obwohl Github also an sich wohl wenig mit dem Erfolg dieses Hacks zu tun hatte, will Uber die Plattform nun nicht mehr für vertrauliche Projekte verwenden. Gegenwärtig nutze man Github nur noch für Open-Source-Projekte, so Flynn. (hjm)