Post lässt sich 24 Stunden lang von 150 Hackern angreifen

30. Juni 2022 um 12:31
  • security
  • bug bounty
  • die post
  • yeswehack
image
Hacker wie aus dem Bilderbuch. Foto: Yeswehack am Event 'Le Hack'.

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

Die Post hat alle ihre rund 300 Internet-Dienste über das vergangene Wochenende 24 Stunden lang von rund 150 Hackern angreifen lassen. Sie war eine der Zielscheiben an der internationalen Konferenz "Le Hack" in Paris. Die ethischen Hacker fanden 22 Schwachstellen, eine davon gilt als ernst, eine als kritisch. Die übrigen 20 Funde waren leichte bis mittelschwere Schwachstellen, wie die Post mitteilte. 8700 Euro wurden für die Lücken als Prämien ausbezahlt.
Marcel Zumbühl, der CISO der Post, bezeichnete die Zahl der Schwachstellen als nicht besonders hoch. 150 der weltweit besten Hacker hätten einräumen müssen, dass sie sich an den Sicherheitsvorkehrungen der Post grösstenteils die Zähne ausgebissen hätten. Ein 10-köpfiges Security-Team der Post habe vor Ort den Dialog zu den ethischen Hackern gesucht und die Sicherheit der Dienste garantiert, so Zumbühl weiter.
Durchgeführt wurde das Programm von der Plattform Yeswehack, die auch das Bug-Bounty-Programm der Post betreut. In dessen Rahmen wurden in den letzten vier Jahren insgesamt 1159 Lücken gemeldet worden. 437 davon wurden vond er Post bestätigt, 19 gelten als kritisch, 61 ernsthaft. Die Post hat bislang Prämien in der Höhe von 380'000 Euro ausbezahlt.
Die nun am Live-Event aufgespürte kritische Schwachstelle betraf gemäss dem CISO den Ortungsdienst für verloren gemeldete Pakete. Diesen brauchen Post-Mitarbeiterinnen und -Mitarbeiter. Obwohl der Dienst intern sei, hätten die Hacker eindringen können. Die Entdeckung war der Post 3000 Euro wert.
Die ernsthafte Schwachstelle, die mit 1500 Euro prämiert wurde, fanden Hacker beim Webtransfer. Diese Plattform stellt Nutzenden grosse Datenmengen wie etwa Bilder als Download zur Verfügung. Die Hacker drangen den Angaben zufolge ein, so dass sie Mail-Adressen von Post-Mitarbeitern mit Phishing-Mails hätten bombardieren können.

Loading

Mehr zum Thema

image

Nachrichtendienst darf virtuelle Agenten einsetzen

Für Ermittlungen in verschlüsselten Chats und im Darknet kann der Nachrichtendienst des Bundes auch virtuelle Agenten beschäftigen. Die gesetzliche Grundlage ist vorhanden.

publiziert am 27.3.2025
image

Grosses Datenleck bei Oracle?

Der Konzern bestreitet einen Cyberangriff. Die Daten eines Hackers zeigen aber ein anderes Bild. Auch zahlreiche Schweizer Unter­nehmen könnten betroffen sein.

publiziert am 25.3.2025
image

Cyberangriff trifft Swiss Life und Pensionskassen

Rund 60 Pensionskassen dürften von einem Datenleck betroffen sein. Schuld daran ist ein Angriff auf einen externen SMS-Provider, der Zwei-Faktor-Identifizierungen anbietet.

publiziert am 24.3.2025
image

In der Schweiz steigt die digitale Kriminalität stark an

Die jährliche Kriminalstatistik verzeichnet bei den digitalen Delikten eine Zunahme um ein Drittel. Es wurden fast 60'000 Straftaten registriert.

publiziert am 24.3.2025