ענקית הנסיעות אובר לקחה חלק ממנה
פעילות לא מקוונת בסוף יום חמישי לאחר שגילתה שהמערכות הפנימיות שלה
נפגעו. התוקף הצליח להנדס חברתי את דרכו לתוך א
חשבון Slack של העובד לפני שהוא נכנס עמוק יותר לרשת, החברה
אמר.
אמנם ההיקף המלא של הפרצה עדיין
לגלות, האדם הלוקח אחריות לפיגוע (לפי הדיווחים נער) טען שיש לו המון מיילים,
נתונים שנגנבו מאחסון Google Cloud, ומקוד המקור הקנייני של Uber,
"הוכחה" שלה הוא שלח לכמה חוקרי אבטחת סייבר ו
כלי תקשורת, כולל הניו יורק טיימס.
"יש להם פחות או יותר גישה מלאה
אובר", סם קארי, מהנדס אבטחה ב-Yuga Labs, אמר ל"טיימס".. "זו פשרה מוחלטת, ממה
זה נראה כמו."
להתפשר על דומינו
פלטפורמת שיתוף הפעולה של Slack הייתה
המערכת הראשונה הוצאה במצב לא מקוון, אבל מערכות פנימיות אחרות הגיעו במהירות,
לפי דיווחים. רגע לפני ההשבתה, שלח התוקף את א
הודעה רפה לעובדי אובר (חלקם משותף
זה בטוויטר): "אני מכריז שאני האקר ואובר ספגה נתונים
הֲפָרָה."
העבריין אמר זאת גם לחוקרים ולתקשורת
ההפרה החלה בהודעת טקסט לעובד אובר, המתיימר להיות ממנו
IT ארגוני. הודעת "תמיכה טכנית" פשוט ביקשה סיסמה,
שהעובד מסר.
"אמנם לא היה הסבר רשמי
בתנאי שעדיין, [כנראה] הפולש היה
מסוגל להתחבר ל-VPN הארגוני כדי לקבל גישה לרשת Uber הרחבה יותר,
ואז נראה שהוא נתקל בזהב בצורה של אישורי מנהל שמאוחסנים
בטקסט רגיל בשיתוף רשת", איאן מקשיין, סגן נשיא לאסטרטגיה
ב-Arctic Wolf, אמר בהצהרה. "זה רף די נמוך לכניסה
לתקוף והוא משהו שדומה לתוקפים הממוקדים בצרכן שמתקשרים לאנשים
טוען שהוא Microsoft ושמשתמש הקצה יתקין מפתחות או שלט
כלי גישה."
בהצהרה תקשורתית לטיימס, אובר
הדובר אישר כי הנדסה חברתית היא נקודת הכניסה, וכן
פשוט אמר שהחברה עובדת עם רשויות אכיפת החוק כדי לחקור
ההפרה. בפומבי, באמצעות טוויטר, ה חברה
פורסם, "אנו מגיבים כעת לאירוע אבטחת סייבר. אָנוּ
נמצאים בקשר עם רשויות אכיפת החוק ויפרסמו כאן עדכונים נוספים ככל שיהיו
להפוך לזמין."
על פי הדיווחים, ההאקר אמר שכן
בן 18 וכיוון את החברה כדי להפגין את האבטחה החלשה שלה; שם
יכול להיות גם אלמנט האקטיביסטי, כי הוא גם הצהיר בהודעת Slack
לעובדים שיש לשלם לנהגי אובר יותר.
"בהתחשב בגישה שהם טוענים שיש להם
הרוויח, אני מופתע שהתוקף לא ניסה לפדות או לסחוט, כך נראה
כאילו הם עשו את זה 'בשביל הלילה'", הוסיף מקשיין.
לא הנסיעה הראשונה של אובר לפריצת מידע
אובר הייתה נושא לעוד ענק
הפרה, עוד בשנת 2016. באותה תקרית, תוקפי סייבר ברחו עם אישי
מידע עבור 57 מיליון לקוחות ונהגים, בדרישה של 100,000 $
החלפה על אי הפעלת נשק הנתונים (החברה שילמה). חקירה פלילית לאחר מכן
הוביל ל הסדר ללא תביעה עם משרד ארה"ב של
צדק הקיץ הזה, שכלל את אובר שהודתה שהיא הסתירה באופן פעיל
את מלוא היקף ההפרה, אשר זה אפילו לא חשף במשך יותר משנה.
קשור גם ללהיט הקודם, ב-2018
אובר התיישבה ליטיגציה אזרחית בפריסה ארצית על ידי תשלום 148 מיליון דולר לכולם
50 מדינות ומחוז קולומביה; ובאופן אירוני בהתחשב בחדש
בהתפתחויות, היא הסכימה "להטמיע תוכנית יושרה ארגונית,
אמצעי הגנה ספציפיים לאבטחת מידע, ותגובה לאירועים והפרת נתונים
תוכניות הודעות, יחד עם הערכות דו-שנתיות."
