Ride-hailing gigant Uber nam een deel van zijn
operaties eind donderdag offline nadat het ontdekte dat zijn interne systemen
zijn gecompromitteerd. De aanvaller was in staat om zich via social engineering een weg te banen naar een
Slack-account van de werknemer voordat hij dieper in het netwerk draait, het bedrijf
gezegd.
Hoewel de volledige omvang van de inbreuk nog niet bekend is,
aan het licht komen, de persoon die de verantwoordelijkheid voor de aanval opeist (naar verluidt een tiener) beweerde een schat aan e-mails te hebben,
gegevens gestolen uit Google Cloud-opslag en de eigen broncode van Uber,
“bewijs” waarvan hij enkele cybersecurity-onderzoekers stuurde en
media, waaronder The New York Times.
"Ze hebben vrijwel volledige toegang tot"
Uber,” Sam Curry, beveiligingsingenieur bij Yuga Labs, vertelde de Times. “Dit is een totaal compromis, van wat?
het lijkt op."
Compromis Domino's
Het samenwerkingsplatform Slack was de
eerste systeem offline gehaald, maar andere interne systemen volgden snel,
volgens rapporten. Vlak voor de uitschakeling stuurde de aanvaller een
Slappe boodschap aan Uber-medewerkers (van wie sommigen gedeeld
het op Twitter): "Ik kondig aan dat ik een hacker ben en dat Uber een datalek heeft opgelopen"
inbreuk."
De dader vertelde onderzoekers en media ook dat:
de inbreuk begon met een sms naar een Uber-medewerker, zogenaamd afkomstig van:
bedrijfs-IT. Het bericht "tech support" vroeg eenvoudig om een wachtwoord,
die de werknemer overhandigde.
"Hoewel er geen officiële verklaring is geweest"
nog verstrekt, [blijkbaar] de indringer was
in staat om verbinding te maken met de zakelijke VPN om toegang te krijgen tot het bredere Uber-netwerk,
en lijkt dan op goud te zijn gestuit in de vorm van opgeslagen beheerdersreferenties
in platte tekst op een netwerkshare”, Ian McShane, vice-president strategie
bij Arctic Wolf, zei in een verklaring. “Dit is een vrij lage drempel om binnen te komen
aanval en lijkt op de consumentgerichte aanvallers die mensen bellen
beweren Microsoft te zijn en de eindgebruiker keyloggers of remote te laten installeren
toegang tot hulpmiddelen.”
In een mediaverklaring aan de Times zei een Uber
woordvoerder bevestigde dat social engineering het startpunt was, en
zei gewoon dat het bedrijf samenwerkte met wetshandhavers om het te onderzoeken
de breuk. Openbaar, via Twitter, de afstand
geplaatst, “We reageren momenteel op een cybersecurity-incident. Wij
zijn in contact met de wetshandhaving en zullen hier aanvullende updates plaatsen als ze
beschikbaar worden."
Volgens rapporten zei de hacker dat hij
18 jaar oud en gericht op het bedrijf om zijn zwakke beveiliging aan te tonen; daar
kan ook een hacktivistisch element zijn, omdat hij ook verklaarde in het Slack-bericht
aan werknemers dat Uber-chauffeurs meer betaald moeten worden.
“Gezien de toegang die ze beweren te hebben
gewonnen, het verbaast me dat de aanvaller niet probeerde losgeld te betalen of af te persen, zo lijkt het
alsof ze het deden 'voor de lulz',' voegde McShane eraan toe.
Niet Uber's eerste ritje met datalek
Uber was het onderwerp van een andere massale
inbreuk, in 2016. Bij dat incident gingen cyberaanvallen er vandoor met persoonlijke
informatie voor 57 miljoen klanten en chauffeurs, die $ 100,000 in eisten
ruil voor het niet bewapenen van de gegevens (het bedrijf heeft betaald). Een volgend strafrechtelijk onderzoek
leidde tot een niet-vervolgingsregeling met het Amerikaanse ministerie van
Justitie deze zomer, waaronder Uber die toegaf dat het actief in de doofpot stopte
de volledige omvang van de inbreuk, die het heeft niet eens meer dan een jaar onthuld.
Ook gerelateerd aan die eerdere hit, in 2018
Uber geregeld landelijke civiele rechtszaken door iedereen $ 148 miljoen te betalen
50 staten en het District of Columbia; en, ironisch genoeg gezien de nieuwe
ontwikkelingen, stemde het ermee in om “een programma voor bedrijfsintegriteit te implementeren,
specifieke waarborgen voor gegevensbeveiliging en respons op incidenten en datalekken
meldingsplannen, samen met tweejaarlijkse beoordelingen.”
