सवारी करने वाले दिग्गज उबर ने इसका कुछ हिस्सा लिया
संचालन ऑफ़लाइन गुरुवार देर रात के बाद यह पता चला कि इसकी आंतरिक प्रणाली
समझौता किया गया है। हमलावर सामाजिक-इंजीनियरिंग करने में सक्षम था
नेटवर्क में गहराई से प्रवेश करने से पहले कर्मचारी का स्लैक खाता, कंपनी
कहा हुआ।
जबकि उल्लंघन की पूरी सीमा अभी तक
प्रकाश में आने के लिए, हमले की जिम्मेदारी लेने वाला व्यक्ति (कथित तौर पर एक किशोर) ने ईमेल के ढेर होने का दावा किया है,
Google क्लाउड स्टोरेज से चुराया गया डेटा, और Uber का मालिकाना स्रोत कोड,
"सबूत" जिसके बारे में उन्होंने कुछ साइबर सुरक्षा शोधकर्ताओं को भेजा और
द न्यूयॉर्क टाइम्स सहित मीडिया आउटलेट।
"उनके पास काफी हद तक पूरी पहुंच है
उबेर," सैम करी, युग लैब्स में सुरक्षा इंजीनियर, टाइम्स को बताया. "यह कुल समझौता है, किस चीज से
ऐसा लग रहा है।"
समझौता डोमिनोइज
स्लैक सहयोग मंच था
पहली प्रणाली को ऑफ़लाइन लिया गया, लेकिन अन्य आंतरिक प्रणालियों ने शीघ्रता से इसका अनुसरण किया,
रिपोर्टों के अनुसार। अपंगता से ठीक पहले, हमलावर ने विदा कर दिया a
उबेर कर्मचारियों को सुस्त संदेश (जिनमें से कुछ साझा
यह ट्विटर पर): "मैं घोषणा करता हूं कि मैं एक हैकर हूं और उबर को डेटा का नुकसान हुआ है
उल्लंघन करना।"
पर्प ने शोधकर्ताओं और मीडिया को यह भी बताया कि
उल्लंघन एक Uber कर्मचारी को एक टेक्स्ट संदेश के साथ शुरू हुआ, जिसका कथित तौर पर
कॉर्पोरेट आईटी। "तकनीकी सहायता" संदेश ने केवल एक पासवर्ड मांगा,
जिसे कार्यकर्ता ने सौंप दिया।
"जबकि कोई आधिकारिक स्पष्टीकरण नहीं दिया गया है
अभी तक प्रदान किया गया, [जाहिरा तौर पर] घुसपैठिया था
व्यापक उबेर नेटवर्क तक पहुंच प्राप्त करने के लिए कॉर्पोरेट वीपीएन से जुड़ने में सक्षम,
और फिर लगता है कि संग्रहीत व्यवस्थापक क्रेडेंशियल के रूप में सोने पर ठोकर खाई है
नेटवर्क शेयर पर सादे पाठ में," इयान मैकशेन, रणनीति के उपाध्यक्ष
आर्कटिक वुल्फ में, एक बयान में कहा। "यह एक बहुत कम बार-टू-एंट्री है
हमला और कुछ ऐसा है जैसे उपभोक्ता-केंद्रित हमलावर लोगों को बुला रहे हैं
Microsoft होने का दावा करना और अंतिम उपयोगकर्ता द्वारा keyloggers या रिमोट स्थापित करना
एक्सेस टूल्स।"
टाइम्स को दिए एक मीडिया बयान में, एक Uber
प्रवक्ता ने पुष्टि की कि सोशल इंजीनियरिंग प्रवेश का बिंदु था, और
बस इतना कहा कि कंपनी जांच के लिए कानून प्रवर्तन के साथ काम कर रही थी
उल्लंघन। सार्वजनिक रूप से, ट्विटर के माध्यम से, कंपनी
तैनात, "हम वर्तमान में एक साइबर सुरक्षा घटना पर प्रतिक्रिया दे रहे हैं। हम
कानून प्रवर्तन के संपर्क में हैं और अतिरिक्त अपडेट यहां पोस्ट करेंगे क्योंकि वे
उपलब्ध हो जाते हैं।"
रिपोर्ट्स के मुताबिक, हैकर ने कहा कि वह
18 साल पुराना और अपनी कमजोर सुरक्षा का प्रदर्शन करने के लिए कंपनी को लक्षित किया; वहां
एक हैक्टिविस्ट तत्व भी हो सकता है, क्योंकि उसने स्लैक संदेश में भी घोषणा की थी
कर्मचारियों के लिए कि उबेर ड्राइवरों को अधिक भुगतान किया जाना चाहिए।
"उस पहुंच को देखते हुए जिसका वे दावा करते हैं
प्राप्त किया, मुझे आश्चर्य है कि हमलावर ने फिरौती या जबरन वसूली का प्रयास नहीं किया, ऐसा लगता है
जैसे उन्होंने इसे 'लुल्ज़ के लिए' किया था," मैकशेन ने कहा।
Uber की पहली डेटा ब्रीच राइड नहीं
उबेर एक और बड़े पैमाने का विषय था
उल्लंघन, 2016 में वापस। उस घटना में, साइबर हमलावरों ने व्यक्तिगत
57 मिलियन ग्राहकों और ड्राइवरों के लिए सूचना, $100,000 की मांग
डेटा को हथियार नहीं बनाने के लिए विनिमय (कंपनी ने भुगतान किया) एक बाद की आपराधिक जांच
नेतृत्व करने के लिए एक गैर-अभियोजन समझौता के अमेरिकी विभाग के साथ
इस गर्मी में न्याय करें, जिसमें उबर ने स्वीकार किया कि यह सक्रिय रूप से कवर किया गया है
उल्लंघन की पूरी सीमा, जो इसने एक साल से अधिक समय तक खुलासा भी नहीं किया.
उस पहले की हिट से भी संबंधित, 2018 में
उबेर बसे राष्ट्रव्यापी नागरिक मुकदमा सभी को $148 मिलियन का भुगतान करके
50 राज्य और कोलंबिया जिला; और, विडंबना यह है कि नया दिया गया
विकास, यह "एक कॉर्पोरेट अखंडता कार्यक्रम को लागू करने,
विशिष्ट डेटा सुरक्षा सुरक्षा उपाय, और घटना प्रतिक्रिया और डेटा उल्लंघन
अधिसूचना योजना, द्विवार्षिक आकलन के साथ।"
