0
0
Esta postagem foi atualizada às 2h15 ET de 16 de setembro de 2022 para refletir informações adicionais sobre o comprometimento inicial.
A gigante de compartilhamento de viagens Uber colocou algumas de suas operações offline na quinta-feira depois que descobriu que seus sistemas internos foram comprometidos. O invasor conseguiu entrar na conta VPN de um funcionário antes de se aprofundar na rede, disse a empresa.
Embora a extensão total da violação ainda não tenha sido revelada, a pessoa que reivindicou a responsabilidade pelo ataque ( supostamente um adolescente ) alegou ter muitos e-mails, dados roubados do armazenamento do Google Cloud e o código-fonte proprietário da Uber, “prova” de que ele enviou a alguns pesquisadores de segurança cibernética e meios de comunicação, incluindo o The New York Times.
“Eles praticamente têm acesso total ao Uber”, disse Sam Curry, engenheiro de segurança do Yuga Labs, ao Times . “Este é um compromisso total, pelo que parece.”
Dominó de compromisso
A plataforma de colaboração Slack foi o primeiro sistema off-line, mas outros sistemas internos se seguiram rapidamente, de acordo com relatórios. Pouco antes da desativação, o invasor enviou uma mensagem do Slack para os funcionários do Uber (alguns dos quais compartilharam no Twitter ): “Anuncio que sou um hacker e o Uber sofreu uma violação de dados”.
O criminoso também disse aos pesquisadores e à mídia que a violação começou com uma mensagem de texto para um funcionário da Uber, supostamente da TI corporativa. Mais especificamente, de acordo com o analista independente de segurança cibernética Graham Cluley , o hacker montou o que é conhecido como “ataque de fadiga MFA”.
A saber: o invasor já havia determinado um nome de usuário e senha válidos para a VPN da Uber, mas precisava de um código único de autenticação multifator (MFA) baseado em texto para entrar na conta. Então, ele bombardeou o trabalhador com notificações push do MFA por mais de uma hora antes de entrar em contato com o alvo via WhatsApp, onde ele novamente se apresentou como a equipe de TI da Uber. Se a pessoa quisesse que a irritação parasse, disse ele, precisava aceitar o pedido de MFA. O alvo obedeceu.
“Embora nenhuma explicação oficial tenha sido fornecida ainda, [aparentemente] o invasor conseguiu se conectar à VPN corporativa para obter acesso à rede Uber mais ampla e, em seguida, parece ter encontrado ouro na forma de credenciais de administrador armazenadas em texto simples. em um compartilhamento de rede”, disse Ian McShane, vice-presidente de estratégia da Arctic Wolf, em comunicado. “Este é um ataque muito baixo e é algo semelhante aos invasores focados no consumidor ligando para pessoas que afirmam ser a Microsoft e fazendo com que o usuário final instale keyloggers ou ferramentas de acesso remoto”.
O hacker também disse a outros pesquisadores que, uma vez dentro, ele escaneou a intranet da empresa e teve a sorte de encontrar um script do PowerShell contendo credenciais codificadas para uma conta de administrador de gerenciamento de acesso privilegiado (PAM) da Thycotic, que lhe deu ferramentas abundantes para desbloquear outros sistemas internos. , como o Slack.
Em uma declaração à mídia ao Times, um porta-voz do Uber confirmou que a engenharia social era o ponto de entrada e simplesmente disse que a empresa estava trabalhando com as autoridades para investigar a violação. Publicamente, via Twitter, a empresa postou : “Atualmente, estamos respondendo a um incidente de segurança cibernética. Estamos em contato com as autoridades e publicaremos atualizações adicionais aqui assim que estiverem disponíveis”.
Segundo relatos, o hacker disse ter 18 anos e mirou a empresa para demonstrar sua fraca segurança; também pode haver um elemento hacktivista, porque ele também declarou na mensagem do Slack aos funcionários que os motoristas do Uber deveriam receber mais.
“Dado o acesso que eles afirmam ter obtido, estou surpreso que o invasor não tenha tentado resgatar ou extorquir, parece que eles fizeram isso ‘pelo lulz'”, acrescentou McShane.
Não é o primeiro passeio de violação de dados do Uber
O Uber foi alvo de outra violação massiva, em 2016. Nesse incidente, os ciberataques roubaram informações pessoais de 57 milhões de clientes e motoristas, exigindo US$ 100.000 em troca de não armar os dados ( a empresa pagou ). Uma investigação criminal subsequente levou a um acordo de não acusação com o Departamento de Justiça dos EUA neste verão, que incluiu a Uber admitindo que encobriu ativamente toda a extensão da violação, que nem divulgou por mais de um ano .
Também relacionado a esse golpe anterior, em 2018 a Uber resolveu litígios civis em todo o país pagando US$ 148 milhões a todos os 50 estados e ao Distrito de Columbia; e, ironicamente, devido aos novos desenvolvimentos, concordou em “implementar um programa de integridade corporativa, salvaguardas específicas de segurança de dados e planos de resposta a incidentes e notificação de violação de dados, juntamente com avaliações bienais”.
FONTE: THE REGISTER