Ride-hilling-giganten Uber tog noget af det
operationer offline sent torsdag, efter at det opdagede, at dets interne systemer
er blevet kompromitteret. Angriberen var i stand til at social-engine sig vej ind i en
medarbejders Slack-konto, før de pivoterer dybere ind i netværket, virksomheden
sagde.
Mens det fulde omfang af bruddet har endnu
at komme frem i lyset, den person, der påtager sig ansvaret for angrebet (angiveligt en teenager) hævdede at have masser af e-mails,
data stjålet fra Google Cloud-lagring og Ubers proprietære kildekode,
"bevis", som han sendte ud til nogle cybersikkerhedsforskere og
medier, herunder The New York Times.
»De har stort set fuld adgang til
Uber,” Sam Curry, sikkerhedsingeniør hos Yuga Labs, fortalte Times. "Dette er et totalt kompromis, fra hvad
det ser ud som om."
Gå på kompromis med dominobrikker
Slack-samarbejdsplatformen var
første system taget offline, men andre interne systemer fulgte hurtigt efter,
ifølge rapporter. Lige før invaliditeten sendte angriberen en
Slak besked til Uber-medarbejdere (hvoraf nogle delt
det på Twitter): "Jeg meddeler, at jeg er en hacker, og at Uber har lidt data
brud."
Det fortalte gerningsmanden også til forskere og medier
bruddet begyndte med en sms til en Uber-medarbejder, der foregav at være fra
virksomhedens IT. Beskeden "teknisk support" bad blot om en adgangskode,
som arbejderen afleverede.
“Mens der ikke har været nogen officiel forklaring
forudsat endnu, [tilsyneladende] var den ubudne gæst
i stand til at oprette forbindelse til virksomhedens VPN for at få adgang til det bredere Uber-netværk,
og så ser det ud til at være snublet over guld i form af gemt administratoroplysninger
i almindelig tekst på en netværksdeling,” Ian McShane, vicepræsident for strategi
hos Arctic Wolf, sagde i en erklæring. "Dette er en ret lav bar-til-adgang
angribe og er noget, der ligner de forbrugerfokuserede angribere, der ringer til folk
hævder at være Microsoft og får slutbrugeren til at installere keyloggere eller fjernbetjening
få adgang til værktøjer."
I en medieerklæring til Times, en Uber
talsmand bekræftede, at social engineering var indgangspunktet, og
sagde blot, at virksomheden arbejdede sammen med retshåndhævelsen for at efterforske
bruddet. Offentligt via Twitter selskab
indsendt, "Vi reagerer i øjeblikket på en cybersikkerhedshændelse. Vi
er i kontakt med retshåndhævelsen og vil poste yderligere opdateringer her, efterhånden som de
blive tilgængelig."
Ifølge rapporter sagde hackeren, at han er det
18 år gammel og målrettet virksomheden for at demonstrere sin svage sikkerhed; der
kan også være et hacktivistisk element, fordi han også erklærede i Slack-meddelelsen
til medarbejderne, at Uber-chauffører skal betales mere.
"I betragtning af den adgang, de hævder at have
opnået, jeg er overrasket over, at angriberen ikke forsøgte at løsepenge eller afpresse, ser det ud til
som om de gjorde det 'for lulz', tilføjede McShane.
Ikke Ubers første tur til databrud
Uber var genstand for en anden massiv
brud, tilbage i 2016. I den hændelse slap cyberangribere af med personlige
oplysninger til 57 millioner kunder og chauffører, der kræver $100,000 in
bytte for ikke at våben data (virksomheden betalte). En efterfølgende strafferetlig efterforskning
førte til et ikke-retsforfølgende forlig med US Department of
Retfærdighed denne sommer, hvilket inkluderede, at Uber indrømmede, at det aktivt dækkede over
det fulde omfang af bruddet, som det afslørede ikke engang i mere end et år.
Også relateret til det tidligere hit, i 2018
Uber afgjorde landsdækkende civile retssager ved at betale 148 millioner dollars til alle
50 stater og District of Columbia; og ironisk nok givet det nye
udviklingen blev den enige om at "implementere et virksomhedsintegritetsprogram,
specifikke datasikkerhedsforanstaltninger og hændelsesrespons og databrud
underretningsplaner sammen med toårige vurderinger."
