Åkhälsningsjätten Uber tog en del av det
drift offline sent torsdag efter att den upptäckte att dess interna system
har äventyrats. Angriparen var i stånd att socialmanipulera sig in i en
anställdas Slack-konto innan de svänger djupare in i nätverket, företaget
sa.
Medan den fulla omfattningen av brottet har ännu
för att komma fram i ljuset, den person som tar på sig ansvaret för attacken (enligt uppgift en tonåring) påstod sig ha massor av e-postmeddelanden,
data som stjäls från Google Cloud-lagring och Ubers egenutvecklade källkod,
"bevis" som han skickade ut till några cybersäkerhetsforskare och
media, inklusive The New York Times.
"De har i stort sett full tillgång till
Uber,” Sam Curry, säkerhetsingenjör på Yuga Labs, berättade för tiderna. "Det här är en total kompromiss, från vad
det ser ut som."
Kompromissa Domino
Samarbetsplattformen Slack var
första systemet togs offline, men andra interna system följde snabbt efter,
enligt rapporter. Strax före handikappet skickade angriparen iväg en
Slack meddelande till Uber-anställda (av vilka några delas
det på Twitter): "Jag meddelar att jag är en hacker och Uber har drabbats av en data
brott."
Gärningsmannen sa också det till forskare och media
intrånget började med ett sms till en Uber-anställd som påstod sig vara från
företags IT. Meddelandet "teknisk support" bad helt enkelt om ett lösenord,
som arbetaren överlämnade.
"Även om det inte finns någon officiell förklaring
förutsatt ännu, [uppenbarligen] var inkräktaren
kunna ansluta till företagets VPN för att få tillgång till det bredare Uber-nätverket,
och sedan verkar ha snubblat på guld i form av lagrade administratörsuppgifter
i klartext på en nätverksdelning”, Ian McShane, vice vd för strategi
på Arctic Wolf, sade i ett uttalande. "Det här är en ganska låg inträdesbar
attackera och är något som liknar konsumentfokuserade angripare som ringer folk
utger sig för att vara Microsoft och låter slutanvändaren installera keyloggers eller fjärrkontroll
tillgång till verktyg."
I ett mediauttalande till Times, en Uber
talesman bekräftade att social ingenjörskonst var ingångspunkten, och
sa helt enkelt att företaget arbetade med brottsbekämpande myndigheter för att utreda
överträdelsen. Offentligt, via Twitter, företag
posted, "Vi svarar för närvarande på en cybersäkerhetsincident. Vi
är i kontakt med brottsbekämpande myndigheter och kommer att lägga upp ytterligare uppdateringar här allt eftersom
bli tillgänglig."
Enligt rapporter sa hackaren att han är det
18 år gammal och riktade in sig på företaget för att visa sin svaga säkerhet; där
kan också vara ett hacktivistiskt element, eftersom han också deklarerade i Slack-meddelandet
till anställda att Uber-förare ska få mer betalt.
"Med tanke på den tillgång de påstår sig ha
vunnit, jag är förvånad över att angriparen inte försökte lösen eller utpressa, ser det ut
som om de gjorde det "för lulz", tillade McShane.
Inte Ubers första dataintrångsresa
Uber var föremål för en annan massiv
intrång, tillbaka 2016. I den händelsen kom cyberangripare av med personliga
information för 57 miljoner kunder och förare, som kräver $100,000 XNUMX in
utbyte för att inte vapenisera data (företaget betalade in). En efterföljande brottsutredning
ledde till en icke åtalsförlikning med US Department of
Rättvisa i somras, vilket inkluderade att Uber erkände att det aktivt täckte upp
överträdelsens fulla omfattning, som det avslöjades inte ens på mer än ett år.
Också relaterat till den tidigare hiten, 2018
Uber gjorde upp rikstäckande civilrättsliga tvister genom att betala 148 miljoner dollar till alla
50 stater och District of Columbia; och ironiskt nog med tanke på det nya
utvecklingen gick man med på att "implementera ett företagsintegritetsprogram,
specifika skyddsåtgärder för datasäkerhet och incidentrespons och dataintrång
anmälansplaner, tillsammans med tvååriga bedömningar."
