Post lässt sich 24 Stunden lang von 150 Hackern angreifen

30. Juni 2022 um 12:31
  • security
  • bug bounty
  • die post
  • yeswehack
image
Hacker wie aus dem Bilderbuch. Foto: Yeswehack am Event 'Le Hack'.

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

Die Post hat alle ihre rund 300 Internet-Dienste über das vergangene Wochenende 24 Stunden lang von rund 150 Hackern angreifen lassen. Sie war eine der Zielscheiben an der internationalen Konferenz "Le Hack" in Paris. Die ethischen Hacker fanden 22 Schwachstellen, eine davon gilt als ernst, eine als kritisch. Die übrigen 20 Funde waren leichte bis mittelschwere Schwachstellen, wie die Post mitteilte. 8700 Euro wurden für die Lücken als Prämien ausbezahlt.
Marcel Zumbühl, der CISO der Post, bezeichnete die Zahl der Schwachstellen als nicht besonders hoch. 150 der weltweit besten Hacker hätten einräumen müssen, dass sie sich an den Sicherheitsvorkehrungen der Post grösstenteils die Zähne ausgebissen hätten. Ein 10-köpfiges Security-Team der Post habe vor Ort den Dialog zu den ethischen Hackern gesucht und die Sicherheit der Dienste garantiert, so Zumbühl weiter.
Durchgeführt wurde das Programm von der Plattform Yeswehack, die auch das Bug-Bounty-Programm der Post betreut. In dessen Rahmen wurden in den letzten vier Jahren insgesamt 1159 Lücken gemeldet worden. 437 davon wurden vond er Post bestätigt, 19 gelten als kritisch, 61 ernsthaft. Die Post hat bislang Prämien in der Höhe von 380'000 Euro ausbezahlt.
Die nun am Live-Event aufgespürte kritische Schwachstelle betraf gemäss dem CISO den Ortungsdienst für verloren gemeldete Pakete. Diesen brauchen Post-Mitarbeiterinnen und -Mitarbeiter. Obwohl der Dienst intern sei, hätten die Hacker eindringen können. Die Entdeckung war der Post 3000 Euro wert.
Die ernsthafte Schwachstelle, die mit 1500 Euro prämiert wurde, fanden Hacker beim Webtransfer. Diese Plattform stellt Nutzenden grosse Datenmengen wie etwa Bilder als Download zur Verfügung. Die Hacker drangen den Angaben zufolge ein, so dass sie Mail-Adressen von Post-Mitarbeitern mit Phishing-Mails hätten bombardieren können.

Loading

Mehr erfahren

Mehr zum Thema

image

Bund arbeitet für Cybersicherheit enger mit EU zusammen

Der Bundesrat genehmigt die Mitgliedschaft bei der European Cyber Security Organisation sowie die Mitwirkung an einem EU-Projekt für gemeinsame Cyberverteidigung.

publiziert am 21.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024