W czwartek, 15 września, Uber
"Pracujemy z kilkoma wiodącymi firmami zajmującymi się cyfrową kryminalistyką w ramach dochodzenia" - napisał Uber w poniedziałek. "Skorzystamy również z tej okazji, aby nadal wzmacniać nasze polityki, praktyki i technologie, aby jeszcze bardziej chronić Ubera przed przyszłymi atakami".
Według Ubera, haker jest powiązany z grupą hakerską Lapsus$, która, jak twierdzi firma, już naruszyła w tym roku Microsoft
Uber twierdzi, że haker uzyskał dostęp do "kilku systemów wewnętrznych" poprzez zakup hasła wykonawcy Ubera w dark webie. Hasło i dane uwierzytelniające zostały ujawnione przez atak złośliwego oprogramowania na osobiste urządzenie wykonawcy, powiedziała firma.
Haker próbował zalogować się na konto, ale został powstrzymany przez uwierzytelnianie dwuskładnikowe, jednak wykonawca podobno w końcu zaakceptował jedną z próśb o uwierzytelnienie. Według niektórych doniesień, haker podawał się za innego pracownika, aby oszukać kontrahenta w celu zaakceptowania prośby.
"Następnie haker uzyskał dostęp do kilku innych kont pracowników, co ostatecznie dało mu podwyższone uprawnienia do wielu narzędzi, w tym G-Suite i Slacka" - czytamy w raporcie Ubera. "Atakujący następnie... przekonfigurował OpenDNS Ubera, aby wyświetlić pracownikom grafikę na niektórych wewnętrznych stronach".
Haker, którzy powiedział badaczom, że ma 18 lat, skorzystał z kanału Ubera na Slacku, aby "ogłosić" włamanie i wymienić dane, które wykradł, w tym "sekrety". Zakończył swoją wiadomość hashtagiem "uberunderpaisdrives". Wielu pracowników Ubera na kanale najwyraźniej myślało, że wiadomość jest żartem, odpowiadając dziesiątkami emotikonów śmiechu i popcornu.
Uber twierdzi, że szybko zamknął dostęp do wszystkich istotnych kont i narzędzi, a śledztwo w sprawie incydentu trwa. Co ważne, firma twierdzi, że żadne "wrażliwe informacje użytkowników, takie jak numery kart kredytowych, informacje o kontach bankowych lub historie podróży" nie zostały narażone.
Jednak haker podobno udostępnił zrzuty ekranu, które sugerują, że uzyskał dostęp do systemu firmy w chmurze, który przechowuje dane finansowe użytkowników i inne wrażliwe informacje. Na podstawie zrzutów ekranu, które zostały szeroko udostępnione w sieci, był on w stanie uzyskać dostęp do najbardziej wrażliwych systemów wewnętrznych w Uberze.
"To naprawdę straszne, to, jaki miał dostęp" - powiedział Corbin Leo, badacz z Zellic, firmy z branży bezpieczeństwa, który twierdzi, że rozmawiał z hakerem. "Gdyby miał klucze do królestwa, mógłby zacząć zatrzymywać świadczenie usług. Mógłby usuwać rzeczy. Mógłby pobrać dane klientów, zmienić ludziom hasła".
Leo i inny badacz, który skontaktował się z atakującym, Sam Curry z Yuga Labs, mówią, że we włamaniu chodziło bardziej o rozgłos niż kradzieży danych. Haker podobno nie powiedział badaczom, ile danych zostało skopiowanych, jeśli w ogóle, ale dostarczył dowód, że miał dostęp do danych.
"To jest całkowita kompromitacja. Tak to wygląda" - powiedział Curry. "Może jest dzieciakiem, który włamał się do Ubera i nie wie, co z tym zrobić, ale świetnie się przy tym bawi".
"Moje przeczucie jest takie, że wygląda na to, że chce zwrócić na siebie jak najwięcej uwagi" - dodał Curry.
To nie pierwszy raz, kiedy Uber ucierpiał z powodu poważnego włamania. Obecnie były szef bezpieczeństwa Ubera, Joseph Sullivan, stoi przed zarzutami za rzekome zapłacenie 100 000 USD hakerom, aby ukryć atak, którego dokonali w 2016 roku. W tamtym włamaniu skradziono informacje dotyczące mniej więcej 57 milionów użytkowników. Ze swojej strony reprezentacja prawna Sullivana twierdzi, że jest on kozłem ofiarnym firmy.
