Внутренние системы Uber, по-видимому, были серьезно скомпрометированы.
18-летний хакер взял на себя ответственность за взлом Uber, и подробности выглядят не очень хорошо для компании rideshare.
В четверг вечером Uber объявил, что он пострадал от "инцидента с кибербезопасностью" и что он работает с правоохранительными органами по этому вопросу. В отчете "Нью-Йорк Таймс" подробно описан "инцидент" как утечка данных, из-за которой многие внутренние системы Uber были отключены. Однако, поскольку от сотрудников Uber просочилось еще много подробностей, теперь мы знаем гораздо больше о том, что произошло.
Итак, как все прошло? 18-летний хакер применил базовые методы социальной инженерии, нацеленные на сотрудника Uber. Хакер рассказал New York Times, что он просто выдал себя за ИТ-работника корпорации в текстовом сообщении и смог убедить сотрудника отправить пароль, который давал ему доступ.
"Это еще один пример того, что показывает атака за атакой: социальная инженерия является преобладающим способом, с помощью которого компании становятся жертвами взломов, и злоумышленники знают, что это работает", - сказал Джош Явор, директор по информационной безопасности компании Tessian, занимающейся облачной безопасностью, в заявлении для Mashable. "Мы продолжаем наблюдать, как одна и та же тактика срабатывает независимо от противника или жертвы: противники знают, что людей можно обманом заставить выдать свои пароли".
Помимо простоты взлома, у этого нарушения есть еще один невероятный аспект: Uber не знал, что его взломали, пока хакер-подросток не объявил о себе на канале Slack компании.
"Hi @here", - начиналось сообщение хакера. "Я объявляю, что я хакер, и uber пострадал от утечки данных".
Хакер продолжил запускать некоторые внутренние системы компании, которые были скомпрометированы, например, Slack, и закончил свое сообщение, обвинив Uber в недоплате водителям.
Сотрудники Uber сначала подумали, что все это шутка.
Сэм Карри, штатный инженер Yuga Labs, компании, стоящей за проектом Bored Ape Yacht Club NFT, поделился дополнительной информацией о взломе, которую, по его словам, он получил от контакта в Uber.
Согласно источнику Карри, администратор домена Uber, администратор веб-служб Amazon и Suite были среди некоторых учетных записей компании, которые были скомпрометированы. Скриншоты, предположительно от хакера, быстро распространились, показывая его доступ к этим сервисам.
"Каждый раз, когда я запрашиваю веб-сайт, я попадаю на отредактированную страницу с порнографическим изображением и сообщением “F *** you wankers”, - объяснил источник Карри в Uber.
Uber также быстро предупредил своих сотрудников, чтобы они держались подальше от Slack, но, по словам контакта Карри, многие люди в компании продолжали входить в систему, чтобы проверить ответы на шутки каждого.
В своем отчете о взломе The Verge выделила твиттер-ветку исследователя безопасности Корбена Лео, который немного рассказал о том, как хакер смог получить доступ ко многим внутренним системам. По сути, как только сотрудник отправил подростку свой пароль, молодой хакер смог получить доступ к корпоративной VPN, просканировать интрасеть и найти сценарии Powershell, содержащие учетные данные для нескольких служб.
"Получение доступа к личным данным внутри VPN должно быть сложным и находиться под строгой защитой", - объяснил Джек Мур, глобальный советник по кибербезопасности в компании ESET по кибербезопасности, в заявлении, предоставленном Mashable. "Использование простого SMS в качестве средства взлома их систем теперь оставляет Uber с множеством вопросов о том, сколько данных было скомпрометировано с помощью такого простого метода”.
Мур сказал, что атака должна "еще раз подчеркнуть важность обучения персонала оставаться бдительным и иметь возможность обнаруживать целенаправленные попытки фишинга и перепроверять, прежде чем передавать какие-либо учетные данные".
Это не первый случай взлома Uber. Еще в 2016 году 20-летний парень был ответственен за нарушение безопасности, которое затронуло 57 миллионов клиентов Uber по всему миру. Однако на этот раз Uber заявляет, что конфиденциальные пользовательские данные не были скомпрометированы.