Post lässt sich 24 Stunden lang von 150 Hackern angreifen

30. Juni 2022 um 12:31
  • security
  • bug bounty
  • die post
  • yeswehack
image
Hacker wie aus dem Bilderbuch. Foto: Yeswehack am Event 'Le Hack'.

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

Die Post hat alle ihre rund 300 Internet-Dienste über das vergangene Wochenende 24 Stunden lang von rund 150 Hackern angreifen lassen. Sie war eine der Zielscheiben an der internationalen Konferenz "Le Hack" in Paris. Die ethischen Hacker fanden 22 Schwachstellen, eine davon gilt als ernst, eine als kritisch. Die übrigen 20 Funde waren leichte bis mittelschwere Schwachstellen, wie die Post mitteilte. 8700 Euro wurden für die Lücken als Prämien ausbezahlt.
Marcel Zumbühl, der CISO der Post, bezeichnete die Zahl der Schwachstellen als nicht besonders hoch. 150 der weltweit besten Hacker hätten einräumen müssen, dass sie sich an den Sicherheitsvorkehrungen der Post grösstenteils die Zähne ausgebissen hätten. Ein 10-köpfiges Security-Team der Post habe vor Ort den Dialog zu den ethischen Hackern gesucht und die Sicherheit der Dienste garantiert, so Zumbühl weiter.
Durchgeführt wurde das Programm von der Plattform Yeswehack, die auch das Bug-Bounty-Programm der Post betreut. In dessen Rahmen wurden in den letzten vier Jahren insgesamt 1159 Lücken gemeldet worden. 437 davon wurden vond er Post bestätigt, 19 gelten als kritisch, 61 ernsthaft. Die Post hat bislang Prämien in der Höhe von 380'000 Euro ausbezahlt.
Die nun am Live-Event aufgespürte kritische Schwachstelle betraf gemäss dem CISO den Ortungsdienst für verloren gemeldete Pakete. Diesen brauchen Post-Mitarbeiterinnen und -Mitarbeiter. Obwohl der Dienst intern sei, hätten die Hacker eindringen können. Die Entdeckung war der Post 3000 Euro wert.
Die ernsthafte Schwachstelle, die mit 1500 Euro prämiert wurde, fanden Hacker beim Webtransfer. Diese Plattform stellt Nutzenden grosse Datenmengen wie etwa Bilder als Download zur Verfügung. Die Hacker drangen den Angaben zufolge ein, so dass sie Mail-Adressen von Post-Mitarbeitern mit Phishing-Mails hätten bombardieren können.

Loading

Mehr zum Thema

image

Ransomware-Banden belästigen ihre Opfer immer häufiger

Cyberkriminelle setzen ihre Opfer immer mehr unter Druck, um sie zu Lösegeldzahlungen zu bewegen, zeigt eine neue Studie von Palo Alto Networks.

publiziert am 22.3.2023
image

Cyber-Nachhilfe für Chefinnen und Chefs

Ein neues Handbuch des deutschen Bundesamts für IT-Sicherheit soll helfen, das Verständnis für Cyberrisiken in Chefetagen zu verbessern. Das ist dringend nötig, wie Studien zeigen.

publiziert am 22.3.2023
image

Knapp zwei Drittel der Schweizer Firmen von Cyber­angriffen betroffen

Für besseren Schutz sollen dieses Jahr die Cybersecurity-Budgets um 10% steigen.

publiziert am 21.3.2023
image

Bundesrat lobt Swisscom, Post, SBB und Skyguide

Der Bundesrat ist zufrieden mit den Leistungen der 4 bundesnahen Unternehmen. Die Swisscom soll sich jedoch beim Glasfaserausbau sputen und die Post ihr Digital-Geschäft weiterentwickeln.

publiziert am 21.3.2023