Miniony tydzień stał pod znakiem głośnych ataków hakerskich. Uber przyznał pod koniec tygodnia, że zajmuje się incydentem związanym z cyberbezpieczeństwem, ale firma nie podała żadnych dalszych szczegółów poza stwierdzeniem, że jest w kontakcie z organami ścigania.
Nie trzeba było jednak długo czekać na wyciek informacji o incydencie - cyberprzestępca twierdzi, że uzyskał nieautoryzowany dostęp do wszystkich wewnętrznych usług Ubera. Skontaktował się z wieloma redakcjami i specjalistami od cyberbezpieczeństwa, biorąc na siebie odpowiedzialność za incydent i oferując informacje o sobie i włamaniu. W rozmowie z dziennikarzami The New York Times aktor przedstawił się jako 18-latek i twierdził, że uzyskał wstępny dostęp do wewnętrznej sieci Ubera, przeprowadzając atak zmęczeniowy MFA Fatigue na jednego z pracowników firmy.
Uber nadal prowadzi śledztwo w tej sprawie, to przekonuje, że wstępne dochodzenie nie wykazało żadnych dowodów na to, iż haker uzyskał dostęp do „wrażliwych danych użytkowników”.
Haker przez ponad godzinę spamował pracownika Ubera żądaniami uwierzytelnienia MFA, a następnie wysłał mu wiadomość przez WhatsApp, twierdząc, że jest członkiem działu IT Ubera i przekonując, żeby zaakceptował żądanie uwierzytelnienia, aby zatrzymać ciągłe powiadomienia. Niestety, pracownik został oszukany przez tę socjotechnikę i spełnił żądanie, dając atakującemu dostęp do firmowej sieci VPN.
Haker następnie połączył się z VPN i przeskanował wewnętrzną sieć Ubera, ujawniając niektóre skrypty powershell, które zawierały dane logowania do konta administratora Thycotic, przy czym Thycotic jest platformą Privileged Access Management (PAM). Haker wykorzystał te dane uwierzytelniające, aby zalogować się do Thycotic i wyodrębnić tajne klucze dla wszystkich połączonych usług Uber.
Atakujący opublikował zrzuty ekranu przedstawiające dowody nieautoryzowanego dostępu do instancji AWS Ubera, narzędzia HackerOne, panelu administracyjnego SentinalOne, obszaru roboczego Slack, platformy wirtualizacji VMware vSphere, obszaru roboczego Google i danych finansowych. Twierdzi również, że uzyskał dostęp do usługi uwierzytelniania dwuskładnikowego Uber Duo, obszaru roboczego Confluence i dwóch monorepozytoriów z pakietu programistycznego Phabricator.
Narzędzie Uber HackerOne do śledzenia błędów zostało wyłączone, prawdopodobnie w reakcji na włamanie, ale wygląda na to, że działania podjęto zbyt późno. Haker uzyskał już bowiem dostęp do wszystkich ticketów bug bounty, o czym świadczą komentarze „UBER HAS BEEN HACKED”. Zostawił także wiadomość w obszarze roboczym Slack firmy, informującą o włamaniu, ale pracownicy Ubera najwyraźniej początkowo nie traktowali tej wiadomości poważnie. Według anonimowych pracowników Ubera, potraktowali wiadomość jako żart i wyśmiewali hakera, nawet po tym, jak Uber wysłał oficjalne powiadomienie, aby przestali używać Slacka.
Co prawda Uber nadal prowadzi śledztwo w tej sprawie, to przekonuje, że wstępne dochodzenie nie wykazało żadnych dowodów na to, iż haker uzyskał dostęp do „wrażliwych danych użytkowników” (takich jak historia tras). Firma informuje również, że wszystkie jej usługi już działają, a jej wewnętrzne narzędzia programowe wracają do trybu online.
Zobacz także:
- GeForce RTX 4000 - nowe przecieki zdradzają, kiedy poszczególne modele trafią na rynek
- Mobilne Radeony przerabiane i sprzedawane jako stacjonarne karty graficzne
- ZOTAC GeForce RTX 4090 - wyciekła niereferencyjna wersja flagowego modelu NVIDII. Jest grubo
Pokaż / Dodaj komentarze do: Uber uspokaja po ataki hakerskim na ich systemy