

Post lässt sich 24 Stunden lang von 150 Hackern angreifen
30. Juni 2022 um 12:31An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.
Die Post hat alle ihre rund 300 Internet-Dienste über das vergangene Wochenende 24 Stunden lang von rund 150 Hackern angreifen lassen. Sie war eine der Zielscheiben an der internationalen Konferenz "Le Hack" in Paris. Die ethischen Hacker fanden 22 Schwachstellen, eine davon gilt als ernst, eine als kritisch. Die übrigen 20 Funde waren leichte bis mittelschwere Schwachstellen, wie die Post mitteilte. 8700 Euro wurden für die Lücken als Prämien ausbezahlt.
Marcel Zumbühl, der CISO der Post, bezeichnete die Zahl der Schwachstellen als nicht besonders hoch. 150 der weltweit besten Hacker hätten einräumen müssen, dass sie sich an den Sicherheitsvorkehrungen der Post grösstenteils die Zähne ausgebissen hätten. Ein 10-köpfiges Security-Team der Post habe vor Ort den Dialog zu den ethischen Hackern gesucht und die Sicherheit der Dienste garantiert, so Zumbühl weiter.
Durchgeführt wurde das Programm von der Plattform Yeswehack, die auch das Bug-Bounty-Programm der Post betreut. In dessen Rahmen wurden in den letzten vier Jahren insgesamt 1159 Lücken gemeldet worden. 437 davon wurden vond er Post bestätigt, 19 gelten als kritisch, 61 ernsthaft. Die Post hat bislang Prämien in der Höhe von 380'000 Euro ausbezahlt.
Die nun am Live-Event aufgespürte kritische Schwachstelle betraf gemäss dem CISO den Ortungsdienst für verloren gemeldete Pakete. Diesen brauchen Post-Mitarbeiterinnen und -Mitarbeiter. Obwohl der Dienst intern sei, hätten die Hacker eindringen können. Die Entdeckung war der Post 3000 Euro wert.
Die ernsthafte Schwachstelle, die mit 1500 Euro prämiert wurde, fanden Hacker beim Webtransfer. Diese Plattform stellt Nutzenden grosse Datenmengen wie etwa Bilder als Download zur Verfügung. Die Hacker drangen den Angaben zufolge ein, so dass sie Mail-Adressen von Post-Mitarbeitern mit Phishing-Mails hätten bombardieren können.
Loading
Nach Datenklau bei Kapo Bern: Verdächtige identifiziert
Nach Hausdurchsuchungen habe man einige Verdächtige identifiziert und befragt, so die kantonale Staatsanwaltschaft für "besondere Aufgaben". Weiterführende Ermittlungen sind im Gang.
Was White-Hat-Hacker über KI denken
Machen neue KI-Tools die Aufgaben der Cybersicherheit einfacher oder schwieriger? Selbst ethische Hacker sind sich bei dem Thema nicht einig.
Atlassian warnt vor neuen gravierenden Lücken
Die Schwachstellen werden als kritisch eingestuft und ermöglichen die Ausführung von Remote-Code.
Stadt Baden wurde bereits im Oktober angegriffen
Unbekannte haben im Oktober versucht, sich Zugang zu den Systemen der ICT Aarau-Baden zu verschaffen. Ob das aktuelle Datenleck auf diesen Vorfall zurückgeht, ist noch nicht klar.