Ethische Hacker finden 22 Schwachstellen in Schweizer Post-IT
Im Rahmen der Sicherheitskonferenz Lehack hat die Schweizerische Post ihre Internetdienste für ethische Hacker zum Angriff freigegeben. Binnen 24 Stunden fanden 150 Teilnehmende 22 Schwachstellen, darunter eine kritische.
150 ethische Hackerinnen und Hacker haben am Wochenende vom 25. zum 26. Juni 24 Stunden lang die Internetdienste der Schweizerischen Post anzugreifen versucht. Dies geschah im Rahmen der Sicherheitskonferenz Lehack, die im französischen Paris über die Bühne ging, schreibt die Post im Unternehmensblog. Man habe damit Sicherheitslücken finden und schliessen wollen.
Insgesamt 22 Schwachstellen entdeckten die Teilnehmenden im Verlauf des Events, sagt Post-CISO Marcel Zumbühl im Blogbeitrag und kommentiert: "Ich habe weit mehr erwartet. Sie müssen bedenken: 150 der weltweit besten Hacker greifen während 24 Stunden alle rund 300 Internetdienste der Post an. Da sind 22 Schwachstellen nicht besonders viele."
Eine ernsthafte und eine kritische Lücke
Bei den meisten gefundenen Sicherheitslücken handle es sich um leichte oder mittlere Schwachstellen. Doch es wurde auch eine ernsthafte und eine kritische entdeckt. Eine betreffe das sogenannte Fundbüro für Pakete. "Das ist ein Onlinedienst, den etwa die Mitarbeitenden vom Kundendienst nutzen, um verloren gemeldete Pakete wieder zu finden", erklärt Zumbühl. "Obwohl das ein rein postinterner Dienst ist, haben die Hacker es geschafft, von aussen einzudringen und die Paketdaten zu manipulieren."
Die zweite grobe Lücke entdeckten die Hackerinnen und Hacker in der Webtransfer-Plattform, mit der grosse Dateien verschickt werden können. Hier gelang es den Sicherheitsprofis, die Plattform zu hacken, so dass sie beispielsweise die Mailadressen der Post-Mitarbeitenden mit Phishing-Mails hätten bombardieren können. Für das Aufspüren der Sicherheitslücken belohnte die Post die Hackerinnen und Hacker mit insgesamt 8700 Euro.
Laut dem Blogbeitrag war es das erste Mal, dass die Post sämtliche ihrer Internetdienste für ethische Hackerangriffe freigab. Man habe währenddessen durchgehend dafür gesorgt, dass die Kundendaten geschützt sind, sagt Zumbühl. Und: "Unsere IT-Systeme und Netze haben diesem geballten Angriff unbeschadet standgehalten. Zu keinem Zeitpunkt in diesen 24 Stunden war irgendein Web-Dienst der Post beeinträchtigt."
Bug-Bounty-Programme sind für die Post nichts neues. Der Konzern lädt schon seit mehreren Jahren gezielt ethische Hackerinnen und Hacker ein, ausgewählte Dienste anzugreifen. Seit Frühling 2021 führt das Unternehmen auch öffentliche Bug-Bounty-Programme durch, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.