Hacker compra Uber com conta comprometida do Slack

A gigante de transporte Uber levou alguns de seus
operações offline na quinta-feira depois que descobriu que seus sistemas internos
foram comprometidos. O invasor foi capaz de fazer engenharia social para entrar em um
conta do Slack do funcionário antes de se aprofundar na rede, a empresa
disse.

Embora a extensão total da violação ainda
vir à tona, a pessoa que reivindica a responsabilidade pelo ataque (supostamente um adolescente) alegou ter um monte de e-mails,
dados roubados do armazenamento do Google Cloud e código-fonte proprietário da Uber,
“prova” da qual ele enviou a alguns pesquisadores de segurança cibernética e
meios de comunicação, incluindo o The New York Times.

“Eles praticamente têm acesso total a
Uber”, Sam Curry, engenheiro de segurança do Yuga Labs, disse ao Times. “Este é um compromisso total, do que
parece.”

Dominó de compromisso

A plataforma de colaboração Slack foi a
primeiro sistema desconectado, mas outros sistemas internos seguiram rapidamente,
segundo relatos. Pouco antes da desativação, o atacante enviou um
Mensagem do Slack para funcionários da Uber (alguns dos quais compartilhado
isso no Twitter): “Anuncio que sou um hacker e o Uber sofreu um
violação."

O criminoso também disse aos pesquisadores e à mídia que
a violação começou com uma mensagem de texto para um funcionário da Uber, supostamente de
TI corporativa. A mensagem de “suporte técnico” simplesmente pedia uma senha,
que o trabalhador entregou.

“Embora nenhuma explicação oficial tenha sido
fornecido ainda, [aparentemente] o intruso foi
capaz de se conectar à VPN corporativa para obter acesso à rede Uber mais ampla,
e, em seguida, parece ter tropeçado em ouro na forma de credenciais de administrador armazenadas
em texto simples em um compartilhamento de rede”, Ian McShane, vice-presidente de estratégia
na Arctic Wolf, disse em um comunicado. “Esta é uma barra de entrada muito baixa
ataque e é algo semelhante aos invasores focados no consumidor chamando as pessoas
alegando ser a Microsoft e fazendo com que o usuário final instale keyloggers ou
ferramentas de acesso.”

Em uma declaração de mídia ao Times, um Uber
porta-voz confirmou que a engenharia social era o ponto de entrada, e
simplesmente disse que a empresa estava trabalhando com a aplicação da lei para investigar
a violação. Publicamente, via Twitter, o Empresa
publicado, “Atualmente, estamos respondendo a um incidente de segurança cibernética. Nós
estão em contato com as autoridades e publicarão atualizações adicionais aqui à medida que forem
tornar-se disponível."

Segundo relatos, o hacker disse que está
18 anos e visava a empresa para demonstrar sua fraca segurança; lá
também pode ser um elemento hacktivista, pois ele também declarou na mensagem do Slack
aos funcionários que os motoristas do Uber deveriam receber mais.

“Dado o acesso que eles afirmam ter
ganho, estou surpreso que o invasor não tentou resgatar ou extorquir, parece
como eles fizeram 'pelo lulz'”, acrescentou McShane.

Não é o primeiro passeio de violação de dados do Uber

O Uber foi o tema de outro grande
violação, em 2016. Nesse incidente, os ciberataques fugiram com
informações para 57 milhões de clientes e motoristas, exigindo US$ 100,000 em
troca por não armar os dados (a empresa pagou). Uma investigação criminal posterior
levou a um acordo de não acusação com o Departamento de
Justiça neste verão, que incluiu o Uber admitindo que encobriu ativamente
toda a extensão da violação, que nem divulgou por mais de um ano.

Também relacionado a esse hit anterior, em 2018
Uber resolvido contencioso cível nacional pagando US$ 148 milhões a todos
50 estados e o Distrito de Columbia; e, ironicamente, dada a nova
desenvolvimentos, concordou em “implementar um programa de integridade corporativa,
salvaguardas específicas de segurança de dados e resposta a incidentes e violação de dados
planos de notificação, juntamente com avaliações bienais”.