Lücken gemeldet

130.000 Dollar für Hack von Apple, Microsoft & Co.

(Bild: stock.adobe.com)

Ein IT-Experte, dem es gelungen ist, Schadcode in die Firmennetzwerke des Who-is-Who der IT-Welt einzuschleusen, hat mit dem Hack 35 großer IT-Konzerne 130.000 US-Dollar verdient. Nicht, indem er Lösegeld forderte oder Geschäftsgeheimnisse stahl. Als White-Hat-Hacker meldete er stattdessen die entdeckten Schwachstellen und erhielt „Finderlohn“.

Alex Birsan ist ein ethischer Hacker, in der IT-Branche auch White-Hat-Hacker genannt. Er klopft Unternehmensnetzwerke auf Schwachstellen ab und meldet den Firmen, was er findet. Dass auch die größten Namen der Branche nicht vor Hacks gefeit sind, demonstrierte er nun mit einem Hack, der ihn in die Firmennetzwerke 35 großer IT-Konzerne führte - darunter Riesen wie Apple, Microsoft, PayPal, Netflix, Tesla oder Uber.

Auf medium.com erklärt Birsan, wie ihm das gelang: Er nahm die Programmierer ins Visier, die sich bei ihren Projekten oft auf sogenannte „Dependencies“ verlassen. Dabei handelt es sich um Code-Bausteine, die projektübergreifend zum Einsatz kommen und direkt aus öffentlichen oder privaten Datenbanken in ein Projekt eingefügt werden. Gelänge es, manipulierten Code in diese Datenbanken einzuschleusen, müsste man damit ins Netzwerk der Programmierer eindringen können, vermutete er.

Interner PayPal-Code lieferte wichtigen Hinweis
Der Durchbruch gelang Birsan, als er gemeinsam mit einem anderen White-Hat-Hacker namens Justin Gardner in einer Datenbank Programmcode entdeckte, der vom Bezahldienst PayPal genutzt wurde. Darin fanden sich Verweise auf Programmbausteine, die nicht in der öffentlichen Datenbank zur Verfügung gestellt wurden, sondern aus PayPals internem Netzwerk stammen mussten.

Über öffentliche Datenbanken für Programmierbausteine jubelte Birsan den großen IT-Unternehmen Schadcode unter.

(Bild: stock.adobe.com)

Birsan schrieb Schadcode und platzierte diesen unter dem bei PayPal intern genutzten Namen in der öffentlichen Datenbank. Es dauerte nicht lang, bis sein Code in internen PayPal-Programmierprojekten auftauchte, weil bei der Installation der Codefragmente öffentlich verfügbaren Quellen automatisch der Vorzug gegeben wurde.

Über Code-Bausteine auch andere Firmen gehackt
Birsan weitete sein Experiment aus, suchte nach weiteren Code-Bausteinen großer IT-Unternehmen und testete, ob er auch dort auf ähnlichem Wege in die Netzwerke schlüpfen könnte. Er wurde schnell fündig und stellte fest, dass interner Code immer wieder seinen Weg in öffentliche Datenbanken wie GitHub und sogar Online-Foren findet.

Die Erfolgsrate war einfach erstaunlich.

Alex Birsan, White-Hat-Hacker

„Die Erfolgsrate war einfach erstaunlich“, resümiert der White-Hat-Hacker. Über die Schwachstelle, die er „Dependency Confusion“ taufte und für drei verschiedene Programmiersprachen ausprobierte, konnte er in die Firmennetzwerke von mehr als 35 IT-Unternehmen eindringen - meist Konzerne mit mehr als 1000 Mitarbeitern.

Hack brachte Birsan insgesamt 130.000 Dollar
Birsan meldete seinen Zielen die erfolgreichen Angriffe, damit diese ihre Netzwerke entsprechend absichern können - und verdiente in Summe rund 130.000 US-Dollar. Ein Teil der Summe war Teil von Verträgen, die er zuvor mit den Unternehmen geschlossen hatte und die vorsahen, dass Birsan die Netzwerke auf Schwachstellen testen sollte.

Der Rest setzte sich aus sogenannten „Bug Bounties“ zusammen. Dabei handelt es sich um „Finderlohn“ für White-Hat-Hacker, die einem Unternehmen eine potenziell gefährliche Sicherheitslücke melden. Je 30.000 US-Dollar erhielt Birsan etwa vom Online-Shop-Betreiber Shopify und dem Computerkonzern Apple, auch PayPal war die entdeckte Sicherheitslücke 30.000 Dollar wert.