Der Ride-Hailing-Riese Uber hat einige davon übernommen
Betrieb am späten Donnerstag offline, nachdem festgestellt wurde, dass seine internen Systeme
wurden kompromittiert. Der Angreifer konnte sich per Social-Engineering in eine
Slack-Konto des Mitarbeiters, bevor er tiefer in das Netzwerk, das Unternehmen, eintaucht
sagte.
Während das volle Ausmaß der Verletzung noch nicht erreicht ist
ans Licht kommen, die Person, die sich zu dem Angriff bekennt (angeblich ein Teenager) behauptete, Unmengen von E-Mails zu haben,
aus dem Google Cloud-Speicher gestohlene Daten und der proprietäre Quellcode von Uber,
„Beweis“, den er an einige Cybersicherheitsforscher verschickte und
Medien, einschließlich der New York Times.
„Sie haben so ziemlich vollen Zugriff auf
Uber“, Sam Curry, Sicherheitsingenieur bei Yuga Labs, erzählte der Times. „Das ist ein totaler Kompromiss, wovon
es sieht aus wie."
Kompromittiere Dominosteine
Die Kollaborationsplattform Slack war die
erstes System offline genommen, aber andere interne Systeme folgten schnell,
laut Berichten. Kurz vor der Deaktivierung schickte der Angreifer einen ab
Slack-Nachricht an Uber-Mitarbeiter (einige von ihnen von Locals geführtes
es auf Twitter): „Ich gebe bekannt, dass ich ein Hacker bin und Uber einen Datenschaden erlitten hat
Bruch."
Das sagte der Täter auch Ermittlern und Medien
Der Verstoß begann mit einer SMS an einen Uber-Mitarbeiter, die angeblich von ihm stammte
Unternehmens-IT. Die „Tech Support“-Nachricht fragte einfach nach einem Passwort,
die der Arbeiter übergeben hat.
„Es gab zwar keine offizielle Erklärung
vorausgesetzt noch, [anscheinend] war der Eindringling
in der Lage, sich mit dem Unternehmens-VPN zu verbinden, um Zugriff auf das breitere Uber-Netzwerk zu erhalten,
und scheint dann über Gold in Form von gespeicherten Admin-Zugangsdaten gestolpert zu sein
im Klartext auf einer Netzwerkfreigabe“, Ian McShane, Vice President of Strategy
bei Arctic Wolf, sagte in einer Erklärung. „Dies ist ein ziemlich niedriger Einstieg
Angriff und ist so etwas wie die verbraucherorientierten Angreifer, die Menschen anrufen
behaupten, Microsoft zu sein und den Endbenutzer Keylogger oder Remote installieren zu lassen
Zugriffswerkzeuge.“
In einer Medienerklärung an die Times, ein Uber
Der Sprecher bestätigte, dass Social Engineering der Einstiegspunkt war, und
sagte einfach, dass das Unternehmen mit den Strafverfolgungsbehörden zusammenarbeite, um Nachforschungen anzustellen
der Bruch. Öffentlich, über Twitter, die Unternehmen
gepostet, „Wir reagieren derzeit auf einen Cybersicherheitsvorfall. Wir
stehen in Kontakt mit den Strafverfolgungsbehörden und werden hier weitere Updates veröffentlichen, sobald sie vorhanden sind
verfügbar werden."
Berichten zufolge sagte der Hacker, dass er es sei
18 Jahre alt und zielte auf das Unternehmen ab, um seine schwache Sicherheit zu demonstrieren; dort
möglicherweise auch ein hacktivistisches Element, wie er auch in der Slack-Meldung erklärte
an die Mitarbeiter, dass Uber-Fahrer mehr bezahlt werden sollten.
„Angesichts des Zugangs, den sie angeblich haben
Ich bin überrascht, dass der Angreifer nicht versucht hat, Lösegeld zu erpressen oder zu erpressen, wie es aussieht
als hätten sie es 'für die Lulz' getan“, fügte McShane hinzu.
Nicht Ubers erste Fahrt durch Datenschutzverletzungen
Uber war das Thema eines weiteren massiven
Verletzung im Jahr 2016. Bei diesem Vorfall machten sich Cyberangreifer mit persönlichen Daten davon
Informationen für 57 Millionen Kunden und Fahrer, die 100,000 US-Dollar verlangen
Austausch, um die Daten nicht zu bewaffnen (das Unternehmen zahlte). Eine anschließende kriminalpolizeiliche Untersuchung
führte zu eine außergerichtliche Einigung mit dem US-Ministerium für
Gerechtigkeit in diesem Sommer, bei der Uber zugab, aktiv vertuscht zu haben
das volle Ausmaß der Verletzung, die es wurde nicht einmal mehr als ein Jahr offengelegt.
Auch im Zusammenhang mit diesem früheren Hit im Jahr 2018
Uber hat sich erledigt bundesweite Zivilprozesse indem wir allen 148 Millionen Dollar zahlen
50 Bundesstaaten und der District of Columbia; und ironischerweise angesichts des Neuen
Entwicklungen vereinbart, „ein Programm zur Unternehmensintegrität einzuführen,
spezifische Datensicherheitsvorkehrungen und Reaktion auf Vorfälle und Datenschutzverletzungen
Benachrichtigungspläne, zusammen mit zweijährlichen Bewertungen.“
